Cláudio Sadeck, gerente de Desenvolvimento de Negócios da Easy Solutions no Brasil. Foto: Divulgação.
Por Cláudio Sadeck*
Os cibercriminosos estão ficando cada vez mais criativos. A razão é que cada aplicativo lançado pode ser vetor para ataques que buscam conseguir os dados pessoais dos usuários finais.
No último ano, tenho observado que ameaças com ferramentas de acesso remoto, aquelas que tentam acessar a microfones e câmeras dos usuários, e com o Acecard, um risco ao online banking, têm se tornado mais frequentes e perigosas.
Hoje, mais uma entra em nosso campo de visão: um novo tipo de malware que usa o TeamViewer (ferramenta que possibilita o acesso remoto e o compartilhamento da tela do computador de arquivos ou reuniões online) como componente de um ataque complexo, executado em diversas etapas. Parte desse esquema faz o download do TeamViewer por meio do site oficial do programa.
Nossa equipe de inteligência antifraude descobriu que alguns hackers estão acessando remotamente os computadores dos usuários do TeamViewer. O que mais me preocupa é que o ataque é invisível e as vítimas não têm a menor ideia de que sua máquina está infectada.
Como o ataque acontece?
A ameaça se inicia com um simples ataque de phising, com o envio de um e-mail falso convidando o usuário a fazer o download de um arquivo malicioso que tenta esconder sua execução por trás de um processo real do navegador. A partir daí, é feito o download de arquivos de um site hackeado e da página legítima do TeamViewer, evitando ser detectado como ameaça RAT em potencial.
Após a conclusão do download, os criminosos usam tanto arquivos maliciosos como, também, alguns módulos do TeamViewer para preparar e lançar o ataque. Este, então, é executado durante a inicialização do dispositivo Windows, verificando, também, o status do painel C&C e enviando os dados que identificam a máquina infectada, como nome de usuário, ID da máquina e/ou data.
O esquema também coleta dados relacionados a todos os programas de mensagens instantâneas e e-mails instalados no dispositivo e rouba informações privadas nos navegadores locais.
Também acho importante mencionar que, durante a análise do ataque, foram detectadas, em menos de três dias, duas novas ameaças com o mesmo comportamento, e que, apesar de os ataques serem diferentes, o malware final instalado nas máquinas das vítimas era exatamente o mesmo. Tal fator demonstra a rapidez com que os criminosos podem modificar e melhorar suas técnicas para escapar das estratégias de detecção mais comuns.
Quais são as regiões e os setores mais afetados?
Várias instituições financeiras na América Latina reportaram a mais nova versão desta ameaça. Há também alguns registros do mesmo tipo de ataque na Rússia, no Reino Unido, na Espanha e nos Estados Unidos.
Como este Trojan permite o acesso remoto a partir de uma máquina infectada, os cibercriminosos podem, facilmente, instalar malware adicional para espionar e monitorar as atividades das vítimas.
Nenhum setor pode negligenciar os perigos que um ataque deste tipo representa, já que os criminosos podem acessar remotamente o computador ou dispositivo móvel das vítimas, o que significa que eles terão acesso a contas bancárias, e-mails privados e corporativos, mensagens instantâneas, registros médicos e outros dados sensíveis.
Que medidas de proteção podem ser tomadas?
Em minha opinião, uma ameaça de acesso remoto pode ser especialmente perigosa – até mais que outros tipos de ataque cibernético –, pois o criminoso tem controle direto sobre a máquina, permitindo que execute e interrompa processos, roube dados de acesso e registre as atividades virtuais da vítima. No entanto, recomendo algumas maneiras de evitar que os usuários sejam vítimas dessas ameaças.
Implemente uma solução que analise o comportamento do usuário, como movimentos de mouse e teclado. Este método é mais efetivo que as ferramentas de detecção tradicionais já que ações legítimas, como compartilhamento de tela, podem vir de diferentes locais.
Implemente uma estratégia de defesa multicamada, que inclua identificação de dispositivos, detecção de malware e análise da ação do usuário.
Sempre atualize os programas de acordo com as últimas versões, uma vez que os desenvolvedores se esforçam para que as versões novas sejam mais seguras que as anteriores.
* Cláudio Sadeck é gerente de Desenvolvimento de Negócios da Easy Solutions no Brasil.