Há aproximadamente três meses, a ESET, empresa especialista em detecção proativa de ameaças, detectou o Zumanek, uma nova família de malwares bancários, que ataca quase que exclusivamente o Brasil. Seu nível de detecção ainda não o coloca no top 10 de spywares/bankers mais detectados no país, mas o vírus traz indícios de planos futuros do cibercrime brasileiro, focado em bancos e criptomoeadas.
A ESET analisou uma amostra dessa família de malwares (versão 3.0) com o objetivo de entender seu funcionamento e verificar as precauções tomadas por seus desenvolvedores para evitar a detecção.
Entenda a atuação deste malware bancário:
Para chegar às vítimas, os cibercriminosos se valem da Engenharia Social a fim de convencer a pessoa a baixar e executar o primeiro estágio de infecção.
Nesse primeiro estágio, o intuito é fazer uma triagem inicial da máquina onde está sendo executado, realizar o download do payload final (parte do vírus que executa a ação nociva) e, por fim, executá-lo na máquina comprometida.
Um dos motivos que explicam as detecções serem – quase que – exclusivamente no Brasil, está no fato do downloader verificar a língua do sistema escolhida pelo usuário e só atuar se a entrada corresponder a ‘pt-br’.
Outra verificação do malware é com relação à proteção da máquina. Antes de tentar fazer o download de qualquer arquivo, o downloader verifica a presença de diferentes antivírus. Caso algum deles seja detectado, o processo é imediatamente encerrado. Caso não haja antivírus, o malware prossegue com o download do payload final e sua execução na máquina da vítima.
Ao final de todos os downloads e da descompressão dos arquivos (já que o payload vem em forma de ZIP), é verificado se os arquivos foram baixados e modificados corretamente.
Se a verificação for positiva, o payload final é executado. Caso contrário, os arquivos são escondidos (FILE_ATTRIBUTE_HIDDEN) e o sistema é reiniciado.
Na sequência, chega-se ao segundo estágio, que tem como finalidade prover ao atacante o controle remoto à máquina da vítima para o roubo de credenciais de acesso a serviços online banking e a casas de câmbio de criptomoeda.
A cadeia de ataque é realizada de maneira muito simples: o downloader se encarrega de baixar um ZIP contendo dois arquivos, um executável legítimo (e assinado) e uma DLL maliciosa (biblioteca dinâmica de dados para execução de tarefas) que é carregada pelo executável, executando, na sequência, o arquivo legítimo.
Após a execução dos arquivos, o Zumanek pode enviar diversos comandos à máquina da vítima. Além disso, o operador pode também visualizar a tela do usuário a partir dos dados enviados, realizando os seguintes comandos:
| Comando | Ação |
| PRIMEIRAFOTO | Tira screenshot da máquina da vítima e envia o tamanho da screenshot comprimida (zlib) |
| SEGUNDAFOTO | Cria diff da screenshot atual com a anterior e envia tamanho do diff |
| MANDASTREAM | Envia screenshot comprimida e diff |
Isso significa que os dados bancários da vítima se tornam completamente expostos e, consequentemente, vulneráveis.
Dessa forma, fica claro que a família de malwares Zumanek trata-se de um RAT (Remote Access Trojan) com características de banker, com foco no mercado financeiro nacional: seja tradicional (ou seja, bancos) ou seja no novo mercado das criptomoedas.
“Como vimos, o cibercrime brasileiro é bastante inovador e ativo. Portanto, é sempre importante estar atento, principalmente quando utilizamos as facilidades trazidas pelas plataformas bancárias online e, agora, pelas criptomoedas”, finaliza Camillo Di Jorge, Country Manager da ESET no Brasil.
Para mais informações sobre a atuação do Zumanek e sobre como proteger o sistema, acesse: