Il cyberspazio brasiliano è noto per essere un ecosistema peculiare e, sebbene i malware pensati per il mercato bancario riconducibili al paese siano tradizionalmente “basici”, ultimamente sono state rilevate varianti “complicate” da nuovi e più raffinati strumenti d’attacco.
Lo scorso maggio, i ricercatori di Talos hanno analizzato un trojan con una campagna di spam. L’inizio dell’infezione avviene mediante mail di phishing e, non appena l’utente ha il pc infettato e cerca di accedere al conto corrente online può essere raggirato fino ad arrivare al furto vero e proprio.
Per molto tempo, le azioni più profonde di questo malware sono rimaste bloccate dall’utilizzo di “Themida” come packing file (un software che aggiungere livelli di cripting durante il processo di compilazione del programma). Il gruppo di ricerca di Check Point Software Technologies è riuscito però a sbloccare il packer.
Anche Trusteer a gennaio aveva analizzato una versione simile di questo malware, ma non erano emersi collegamenti con il lavoro di Talos. Nella ricerca della società israeliana è stato invece compreso il comportamento, ma anche il collegamento, fra i diversi studi delle altre due società di sicurezza.
Questo tipo di malware bancario sottrae ogni anno milioni di dollari a vittime ignare di tutto il mondo e sebbene un’analisi del suo meccanismo di infezione e raggiro possa essere complessa per i “non addetti ai lavori”, una comprensione maggiore di come funzioni questo attacco può aiutare ad aumentare la consapevolezza e contrastare simili attacchi, soprattutto per riuscire ad individuare il primo meccanismo di infezione: la prima mail di phishing. In questo caso la mail arriva in portoghese…
L’analisi approfondita è disponibile nella pubblicazione di ricerca del sito Check Point Research.