{"id":11526,"date":"2019-03-20T16:59:54","date_gmt":"2019-03-20T19:59:54","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11526"},"modified":"2020-11-16T12:02:00","modified_gmt":"2020-11-16T15:02:00","slug":"financial-trojans-2019","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/financial-trojans-2019\/11526\/","title":{"rendered":"Contadores s\u00e3o novo alvo do cibercrime"},"content":{"rendered":"

Nossos especialistas descobriram que cibercriminosos est\u00e3o concentrando seus esfor\u00e7os em PMEs, e dando aten\u00e7\u00e3o especial aos contadores. Essa escolha \u00e9 bastante l\u00f3gica \u2013 est\u00e3o em busca de acesso direto \u00e0s finan\u00e7as. A manifesta\u00e7\u00e3o mais recente dessa tend\u00eancia \u00e9 um pico na atividade de Trojans<\/a>, especificamente do Buhtrap e do RTM. Ambos possuem diferentes funcionalidades e formas de expans\u00e3o, mas o mesmo prop\u00f3sito \u2013 roubar dinheiro de contas empresariais.<\/p>\n

Ambas as amea\u00e7as s\u00e3o particularmente relevantes para empresas que trabalham em TI, servi\u00e7os legais e produ\u00e7\u00f5es em pequena escala. Isto talvez possa ser explicado pelo or\u00e7amento de seguran\u00e7a muito menor dessas organiza\u00e7\u00f5es em compara\u00e7\u00e3o com empresas que trabalham no setor financeiro.<\/p>\n

RTM<\/h3>\n

Geralmente, o RTM infecta v\u00edtimas por meio de e-mails de phishing<\/a>. As mensagens imitam correspond\u00eancias empresariais comuns (incluindo frases como \u201cpedido de devolu\u00e7\u00e3o\u201d, \u201cc\u00f3pias dos documentos do m\u00eas passado\u201d ou \u201csolicita\u00e7\u00e3o de pagamento\u201d). Clicar em um link ou abrir um anexo leva \u00e0 infec\u00e7\u00e3o imediata, e d\u00e1 aos operadores acesso completo ao sistema infectado.<\/p>\n

Em 2017, nossos sistemas registraram 2,3 mil usu\u00e1rios atacados pelo RTM. Em 2018, 130 mil alvos. E passados apenas dois meses de 2019, j\u00e1 vimos mais de 30 mil usu\u00e1rios que encontraram esse Trojan. Se a tend\u00eancia continuar, vai bater o recorde do ano passado. Por enquanto, podemos considerar o RTM como um dos Trojans financeiros mais ativos.<\/p>\n

A maioria dos alvos do RTM opera na R\u00fassia. No entanto, nossos especialistas esperam que o v\u00edrus cruze fronteiras e eventualmente ataque usu\u00e1rios de outros pa\u00edses.<\/p>\n

Buhtrap<\/h3>\n

O primeiro encontro com o Buhtrap foi em 2014. Naquela \u00e9poca, esse era o nome de um grupo cibercriminoso que roubava dinheiro de estabelecimentos financeiros russos \u2013 um montante de pelo menos U$ 150 mil por golpe. Depois que os c\u00f3digos-fonte das suas ferramentas se tornaram p\u00fablicos em 2016, o nome foi utilizado para o Trojan financeiro.<\/p>\n

O Buhtrap ressurgiu no in\u00edcio de 2017 na campanha TwoBee, quando serviu principalmente como um meio de entrega de malwares. Em mar\u00e7o do ano passado, invadiu as not\u00edcias (literalmente), espalhando-se pelos sites dos principais ve\u00edculos de m\u00eddia, cujas p\u00e1ginas principais tinham sido comprometidas por scripts implantados por atores maliciosos. Esses scripts executaram um exploit nos navegadores Internet Explorer de visitantes.<\/p>\n

Poucos meses depois, em julho, cibercriminosos diminu\u00edram seu p\u00fablico-alvo e se concentraram em um grupo de usu\u00e1rios espec\u00edfico: contadores que trabalham em empresas de pequeno e m\u00e9dio porte. Por esse motivo, criaram sites com informa\u00e7\u00f5es direcionadas para esses profissionais.<\/p>\n

Relembramos esse malware por causa de um novo pico, que come\u00e7ou no fim de 2018 e continua at\u00e9 hoje. Ao todo, nossos sistemas de prote\u00e7\u00e3o evitaram mais de 5 mil tentativas de ataques do Buhtrap, sendo 250 desde o in\u00edcio de 2019.<\/p>\n

Exatamente como da \u00faltima vez, o Buhtrap est\u00e1 se espalhando por meio de exploits embedados em portais de not\u00edcia. Como de costume, usu\u00e1rios do Internet Explorer est\u00e3o no grupo de risco. O IE utiliza um protocolo criptografado para baixar malwares de sites infectados, e isso complica a an\u00e1lise e permite que o v\u00edrus se esconda de algumas solu\u00e7\u00f5es de seguran\u00e7a. E sim, ainda utiliza uma vulnerabilidade que foi descoberta em 2018.<\/p>\n

Como resultado da infec\u00e7\u00e3o, tanto o Buhtrap como o RTM permitem acesso completo a esta\u00e7\u00f5es de trabalho comprometidas. Isso permite que cibercriminosos modifiquem os arquivos usados para trocas de dados entre sistemas de contabilidade e banc\u00e1rios. Esses arquivos possuem nomes padronizados e nenhuma medida de prote\u00e7\u00e3o adicional, de forma que os bandidos podem modific\u00e1-los como quiserem. Estimar os danos \u00e9 desafiador, mas conforme observamos, os criminosos est\u00e3o desviando fundos em transa\u00e7\u00f5es que n\u00e3o ultrapassam os U$ 15 mil cada.<\/p>\n

O que pode ser feito?<\/h3>\n

Para proteger sua empresa contra essas amea\u00e7as, recomendamos dar aten\u00e7\u00e3o especial \u00e0 prote\u00e7\u00e3o de computadores \u2013 como os de contadores e administradores \u2013 que possuem acesso a sistemas financeiros. \u00c9 claro, todas as outras m\u00e1quinas precisam ser protegidas tamb\u00e9m. Aqui est\u00e3o algumas dicas mais pr\u00e1ticas:<\/p>\n