Os analistas da equipa GREAT da Kaspersky Lab descobriram provas de um ataque dirigido contra os clientes de um dos grandes bancos europeus. Conforme aos registos detetados no servidor utilizado pelos cibercriminosos, em apenas uma semana, foi roubado mais de meio milhão de euros procedentes das contas do referido banco.
Os primeiros sinais desta campanha foram descobertos no passado dia 20 de janeiro, quando os peritos da Kaspersky Lab detetaram um servidor C&C na rede. O painel de controlo deste servidor indicava a utilização de um Trojan concebido especificamente para roubar o dinheiro das contas bancárias.
Os analistas também detetaram registos nesse servidor que continham informação sobre as somas de dinheiro que tinham sido subtraídas de cada conta. No total, foi possível identificar mais de 190 vítimas, a maioria localizada em Itália e Turquia. Os montantes roubados de cada conta oscilavam entre os 1.700 e os 39 mil euros, de acordo com os registos.
Campanha
A campanha contava com pelo menos uma semana de vida quando o C&C foi descoberto, tendo tido início, o mais tardar, em 13 de janeiro. Nesse período, os cibercriminosos já tinham conseguido roubar mais de 500 mil euros. Dois dias antes da descoberta do servidor C&C, os criminosos tinham já eliminado qualquer prova que pudesse ser usada para os apanhar. No entanto, os analistas acreditam que isto está relacionado com alterações efetuadas na infraestrutura técnica utilizada na campanha maliciosa e não necessariamente com o fim do Luuuk. “Quando detetámos este servidor C&C, contactámos o serviço de segurança do banco e as forças da autoridade e legais, tendo-lhes sido fornecidas por nós todas as provas que possuíamos“, afirma Vicente Díaz, analista de malware sénior da Kaspersky Lab.
LUUUK
No caso do LUUUK, os peritos têm motivos para acreditar que se intercetaram automaticamente importantes dados financeiros e que as transações fraudulentas foram realizadas assim que as vítimas se identificaram nas suas contas bancárias online. “No servidor C&C detetámos que não havia informação sobre que programa de malware específico tinha sido usado nesta campanha. No entanto, muitas variantes do Zeus (Citadel, SpyEye, ICEIX…) têm essa capacidade. Acreditamos que no malware usado nesta campanha foi usado algum “ingrediente” do Zeus e uma web sofisticada para injetar malware“, acrescenta Vicente Díaz.
Capital roubado
O dinheiro roubado foi transferido para as contas dos cibercriminosos de uma forma interessante e pouco usual. Os analistas da Kaspersky Lab notaram uma peculiaridade na organização dos chamados ‘drops’ (ou mulas monetárias), onde os participantes no esquema recebem uma parte do dinheiro roubado em contas bancárias especialmente criadas e dinheiro vivo através de caixas automáticos. Existem provas da existência de vários grupos de ‘drops’, cada um com uma atribuição de dinheiro distinta. Um grupo tinha atribuídas somas entre 40 mil e 50 mil euros, outro entre 15 mil e 20 mil e um terceiro não mais do que 2.000 euros. “Estas diferenças nos montantes de dinheiro obtido podem indicar uma variação nos níveis de confiança em cada tipo de “drop”. Sabemos que alguns membros destas organizações muitas vezes passam a perna aos seus “colaboradores” e fogem com o dinheiro que, supostamente, teriam em notas. Os chefes do Luuuk poderiam, desta forma, tratar de se proteger contra estas perdas, estabelecendo diferentes grupos com diferentes níveis de confiança: quanto mais dinheiro é pedido a um grupo, mais se confia nele“, explica Vicente Díaz.
Servidor C&C encerrado
O servidor C&C implicado no Luuuk foi encerrado pouco depois do início da investigação. No entanto, o complexo nível da operação MITB pode indicar que os atacantes continuarão a procurar novas vítimas para esta campanha. As provas descobertas pela Kaspersky Lab indicam que esta campanha foi organizada provavelmente por criminosos profissionais. No entanto, as ferramentas maliciosas usadas podem ser detetadas e eliminadas com soluções de segurança TI. Por exemplo, a Kaspersky Lab desenvolveu o Kaspersky Fraud Prevention, uma plataforma multinível que ajuda as organizações financeiras a proteger os seus clientes contra fraudes online. Esta plataforma inclui componentes que salvaguardam os dispositivos dos clientes de vários tipos de ataques, incluindo os de Man-in-the-browser, assim como ferramentas que podem ajudar as empresas a detetar e bloquear transações fraudulentas.
