Investigação de uma empresa de segurança digital também apontou casos no Brasil

ataque remoto a bancos — Bancos estão sendo alvo de ataque remoto. Brasil está na lista.

A Kaspersky, empresa russa de segurança digital, realizou em fevereiro desse ano, uma investigação sobre ataques misteriosos contra bancos. Esses ataques foram feitos através de um malware que não deixa vestígios. O caso foi publicado no blog da empresa e foi chamado de “ATMitch”. E o pior: alguns casos ocorreram no Brasil!

A investigação começou depois que o banco recuperou e compartilhou dois arquivos contendo logs de malware do disco rígido do caixa (kl.txt e logfile.txt) com a empresa de segurança. Esses foram os únicos arquivos deixados após o ataque. Não foi possível localizar os executáveis maliciosos pois, após o roubo, os cibercriminosos tinham removido o malware.

Através da análise dos arquivos de log, que funcionam como um histórico de operações da máquina, os analistas encontraram, agruparam e categorizaram amostras de malware relacionadas. A partir disso, estabeleceram conexões entre elas, com base em padrões de atividade suspeita em sistemas ou redes que compartilham similaridades.

Com isso, os especialistas chegaram a uma amostra de malware desejada, chamada de “tv.dll” ou “ATMitch”, como foi mais tarde apelidado. O malware é instalado remotamente e executado em um caixa eletrônico a partir do banco-alvo. Depois de instalado e conectado ao terminal de autoatendimento, o vírus ATMitch se comunica com ele como se fosse o programa legítimo da instituição.

Essa invasão possibilita que os hackers realizem uma lista de ações — como a coleta de informações sobre o número de cédulas disponíveis. Dessa forma, eles conseguem dispensar dinheiro a qualquer momento, com apenas um comando. O furto acontece em poucos segundos e não deixa vestígios.

Ataque a banco brasileiro

Em outubro de 2016, um banco brasileiro (o qual não foi divulgado o nome), foi atacado por hackers que “sequestraram” seu DNS, permanecendo no controle por quase cinco horas. Durante o período, clientes do banco que acessaram suas operações online, tanto pelo PC como por celulares, foram redirecionados para páginas idênticas às do banco, mas que na verdade eram falsas.

Ainda não se sabe quem são os responsáveis pelo ataque, já que utilitários comuns do Windows e domínios desconhecidos tornam essa tarefa quase impossível. Porém, o arquivo “tv.dll”, usado no ataque, contém um recurso de idioma russo, o que já pode fornecer alguma pista sobre o grupo responsável.

Confira mais matérias como essa em nossa página no Facebook!