Zumanek é o novo vírus que busca roubar senhas de brasileiros

A ESET descobriu um novo malware, chamado Zumanek, que mira brasileiros para roubar credenciais bancárias. O vírus ainda não está espalhado de maneira massiva, ficando fora dos top 10 detectados pela ESET, mas ele demonstra “os planos futuros do cibercrime brasileiro, que está focado em bancos e criptomoedas”, nota a empresa.

Para Devs: uso de caminhos absolutos para as chamadas LoadLibrary, CreateProcess e ShellExecute

Os cibercriminosos por trás do Zumanek utilizam engenharia social para convencer a vítima a realizar o download de um arquivo malicioso. A engenharia social é realizada após a obtenção de dados sensíveis — principalmente aqueles vazados de inúmeros sites por aí.

“Assim como a grande maioria dos malwares em atividade, sua cadeia de ataque é subdividida em diferentes estágios. O objetivo disso é fazer com que seja possível manter estágios do ataque desconhecidos o máximo possível, evitando efetuá-los em máquinas que não cumprem algum perfil desejado”, notou a ESET.

Primeiro estágio: o intuito é fazer uma triagem inicial da máquina onde está sendo executado, realizar o download do payload final e, por fim, executá-lo na máquina comprometida

Segundo estágio: trata-se de um banker/RAT, cuja finalidade é prover ao atacante o controle remoto à máquina da vítima, enfocando no roubo de credencias de acesso a serviços online banking e a casas de câmbio de criptomoeda. A cadeia de ataque é realizada de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo dois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa que é carregada pelo executável, executando, na sequência, o arquivo legítimo

Proteção

A ESET ainda nota que os usuários, como medida de proteção, ainda podem controlar a ordem de busca de DLLS por meio do registro CWDIllegalInDllSearch. “Já para as versões de Windows a partir do Windows Server 2012 (servidores) e Windows 8.1 (PCs), esse registro já está disponível sem necessidade da instalação do KB2264107”, nota a empresa.

Cupons de desconto TecMundo:

via Novidades do TecMundo

Deixe uma resposta

%d blogueiros gostam disto: