Una minaccia tradizionalmente relegata al Paese sudamericano si fa sempre più complessa, e forse si prepara ad espandersi anche in altre zone del pianeta.
A rischio gli account bancari degli utenti
La security enterprise si riferisce in particolare a una minaccia identificata a maggio del 2017, un allegato malevolo distribuito attraverso e-mail spazzatura scritte in portoghese con lo scopo di indurre l’utente a visitare una pagina remota infetta da cui scaricare un file JAR.
Una volta arrivato sul sistema bersaglio, l’applet JAVA contenuto nel file avvia il processo di installazione del trojan bancario vero e proprio. A infezione avvenuta, il malware stabilisce una connessione remota con il server dei cyber-criminali, mettendo al contempo sotto controllo le attività dell’utente sul sistema infetto.
I ricercatori non erano fin qui riusciti ad analizzare in dettaglio il comportamento del codice malevolo perché il malware faceva uso del codice di compressione “Themida”, ma ora che anche questo ostacolo è stato superato la nuova minaccia ha svelato le sue caratteristichegrazie al lavoro degli analisti.
L’interazione del malware con il sistema infetto prevede dunque il monitoraggio delle attività dell’utente, allertando il server di comando&controllo quando viene eseguito il login su un servizio finanziario. A quel punto il malware visualizza una falsa schermata di autenticazione, cosa che permette il furto delle credenziali di accesso e che viene infine camuffata con un falso messaggio di errore precompilato.
Una volta compromesse le credenziali di accesso – ed eventualmente il meccanismo di autenticazione a doppio fattore della banca – dice Check Point, i cyber-criminali possono agire indisturbati prelevando il denaro dal conto dell’utente.