Vadokrist, o cavalo de Troia bancário que tem afetado o Brasil

0
26

O laboratório da ESET divulgou uma novidade investigação sobre cavalos de Troia bancários voltados para instituições financeiras em toda a América Latina. Na ocasião, especialistas analisaram o Vadokrist, um novo Trojan que tem afetado principalmente bancos no Brasil por meio de uma funcionalidade backdoor distribuída em e-mails maliciosos.

Porquê um diferencial de outros cavalos de Troia bancários, o Vadokrist não coleta informações de suas vítimas imediatamente depois comprometer suas máquinas. No entanto, de pacto com a estudo da ESET, a ameaço compartilha várias características importantes com outros Trojans bancários latino-americanos, porquê Amavaldo, Casbaneiro, Grandoreiro ou Mekotio.

“A maioria dos cavalos de Troia bancários latino-americanos coleta informações sobre a máquina mal a vítima a liga. A única informação que o Vadokrist coleta é o nome de usuário, e faz isso depois o início do ataque”, diz Jakub Soucek, coordenador da equipe que analisou o Vadokrist na ESET. “Mesmo que não colete informações, o Vadokrist pode manipular o mouse e simular entradas de teclado, gravar pressionamentos de tecla, fazer capturas de tela e reiniciar a máquina. Você também pode impedir o aproximação a sites de bancos interrompendo o processo do navegador, uma técnica que acreditamos que os cibercriminosos usam para impedir que as vítimas acessem suas contas bancárias, ajudando os invasores a continuar a manter o controle sobre elas”.

Distribuição

E-mails de spam recentes distribuídos pelo Vadokrist contêm dois arquivos ZIP com dois arquivos: um instalador MSI e um registro CAB. Se a vítima executar o instalador MSI, ela localizará o registro CAB e extrairá seu teor (um carregador MSI) para o disco. Em seguida, ele executa um registro JavaScript incorporado que adiciona uma ingressão de chave Executar, garantindo que o carregador MSI seja executado na inicialização do sistema. Finalmente, o script reinicializa a máquina. Na inicialização, o carregador MSI executa uma DLL embutida: o trojan bancário Vadokrist.

Calabouço de realização usada recentemente por Vadokrist.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui