IBM Descobre Trojan Bancário UnregStealer de Roubo de Credenciais Mirando Bancos da América Latina

A IBM descobriu um trojan bancário conhecido como UnregStealer, que está mirando bancos da América Latina enquanto se disfarça como uma extensão do Chrome. O pesquisador sênior de ameaças Itzhak Chimino informou que o malware engana os usuários para instalá-lo ao exibir avisos falsos de segurança sobre atualizações obrigatórias do certificado SSL. O trojan opera com supervisão humana manual, tornando-o quase invisível para sandboxes e sistemas de detecção comportamental que nunca veem o payload ativar. Esse método operacional permite que o UnregStealer roube cookies de sessão, senhas, senhas de uso único (one-time passwords) e números de conta de vítimas que acessam portais bancários visados.

UnregStealer se disfarça como atualização de certificado SSL

De acordo com Chimino, o UnregStealer engana os usuários por meio de avisos de segurança fabricados. Com base na convenção de nomes do executável e no padrão de entrega, as vítimas recebem o que parece ser um aviso de segurança informando que o navegador delas exige uma atualização obrigatória de certificado SSL. O certificado é totalmente fabricado, e não existe essa exigência de navegador. Trata-se apenas de uma história convincente para fazer a vítima executar um executável.

Malware captura credenciais bancárias por meio de monitoramento de sessão

Quando um usuário está navegando na internet, o malware executa um script que verifica se a vítima está acessando um dos websites listados entre os portais bancários visados. Se for esse o caso, o malware rouba cookies de sessão do site bancário que a vítima está visitando. A cada campo em que o usuário clica e a cada vez que informações são inseridas, o malware captura informações privilegiadas como senhas, senhas de uso único (one-time passwords) e números de conta.

Operação manual permite burlar sistemas de detecção

Chimino explicou que esse trojan envolve um operador real que observa cada sessão da vítima ao vivo e dispara manualmente. Essa variação torna a campanha quase invisível para sandboxes e sistemas de detecção comportamental que nunca veem o payload ativar. Assim que as informações são capturadas, o próximo passo do UnregStealer é determinado pelo seu operador humano.

IBM identifica potencial para ampliar a segmentação

De acordo com Chimino, o malware bancário UnregStealer tem capacidade e potencial para representar uma ameaça maior. Os padrões de infraestrutura observados sugerem um operador com capacidade e motivação para expandir a segmentação além do que esta investigação confirmou.

FAQ

O que é UnregStealer e como ele mira as vítimas?

UnregStealer é um trojan bancário que mira bancos da América Latina ao se disfarçar como uma extensão do Chrome. Ele engana os usuários para instalá-lo por meio de avisos falsos de segurança sobre atualizações obrigatórias do certificado SSL, que são totalmente fabricados.

Como o UnregStealer contorna sistemas de detecção?

O malware envolve um operador real que observa cada sessão da vítima ao vivo e dispara manualmente. Essa operação manual torna a campanha quase invisível para sandboxes e sistemas de detecção comportamental que nunca veem o payload ativar.

Que informações o UnregStealer rouba das vítimas?

O UnregStealer rouba cookies de sessão de websites bancários e captura informações privilegiadas como senhas, senhas de uso único (one-time passwords) e números de conta sempre que um campo é clicado e informações são inseridas em portais bancários visados.