\nUm banking Trojan com o nome mel\u00f3dico de Metel (tamb\u00e9m conhecido como Corkow) foi inicialmente descoberto em 2011: naquele momento, o malware estava ca\u00e7ando usu\u00e1rios de sistemas de banco online. Em 2015, os criminosos por tr\u00e1s do Metel miraram nos bancos, especificamente nos terminais de autoatendimento. Utilizando sua campanha maliciosa, tornaram seu cr\u00e9dito comum em ilimitado. Imagine dinheiro impresso, mas melhor ainda. <\/p>\n
Como fizeram isso?<\/em> Uma vez dentro da rede, usaram softwares leg\u00edtimos para hackear outros PCs at\u00e9 que alcan\u00e7aram os dispositivos que estavam procurando \u2013 aquele com acesso \u00e0s transa\u00e7\u00f5es monet\u00e1rias. Por exemplo, o alvo eram os computadores de operadores de call centers ou da equipe de suporte.<\/p>\n Como resultado, cada vez que um cibercriminoso sacava dinheiro do cart\u00e3o de um banco comprometido no ATM de um outro banco, sistemas infectados automaticamente voltavam a transa\u00e7\u00e3o. \u00c9 por isso que o saldo nas contas se mantinha o mesmo, permitindo que os cibercriminosos sacassem dinheiro at\u00e9 o limite do caixa eletr\u00f4nico. Os criminosos fizeram retiradas similares em diferentes terminais de autoatendimento.<\/p>\n At\u00e9 onde sabemos, a gangue \u00e9 relativamente pequena e consiste, no m\u00e1ximo, em dez pessoas. Parte do time fala russo e n\u00e3o detectamos infec\u00e7\u00f5es fora da R\u00fassia. Os hackers ainda est\u00e3o ativos e procurando por novas v\u00edtimas. <\/p>\n Criminosos ardilosos<\/strong> Para entrar na rede, os membros do GCMAN usaram e-mails de spear phishing com anexos maliciosos. Eles penetraram os dispositivos do RH e contadores, da\u00ed esperaram at\u00e9 que os administradores dos sistemas fizessem o login. Algumas vezes, espalharam o processo travando o Microsoft Word ou 1C (soft de contabilidade popular na R\u00fassia). No momento em que o usu\u00e1rio pede ajuda e o administrador vai resolver o problema, o criminoso rouba a senha.<\/p>\n A partir disso, membros do GCMAN viajavam pelas redes corporativas dos bancos at\u00e9 que encontrassem dispositivos que pudessem, silenciosamente, transferir dinheiro para diferentes servi\u00e7os de pagamentos online. Em algumas organiza\u00e7\u00f5es, o fizeram com o aux\u00edlio de softwares leg\u00edtimos e ferramentas de teste de infiltra\u00e7\u00e3o, como Putty, VNC e Meterpreter. <\/p>\n Essas transa\u00e7\u00f5es feitas com um cron script, que automaticamente transferiam pequenas somas a cada minuto. Isso em uma m\u00e9dia de 200 d\u00f3lares por vez, limite para transa\u00e7\u00f5es an\u00f4nimas na R\u00fassia. \u00c9 not\u00e1vel que os ladr\u00f5es foram bem cuidadosos. Em um caso, permaneceram quietos na rede por um ano e meio, hackeando furtivamente diversos dispositivos e contas. <\/p>\n At\u00e9 onde se sabe, acreditamos que o grupo GCMAN seja bem pequeno e inclui apenas um ou dois membros, que falam russo. <\/p>\n O retorno do Carbanak<\/strong> Para hackear e roubar, usam m\u00e9todos e ferramentas parecidos com APTs t\u00edpicos. Campanhas de spear phishing permitem a infec\u00e7\u00e3o inicial de redes corporativas: um funcion\u00e1rio enganado abre um e-mail, com um anexo que instala o malware desenvolvido pelo Carbanank. <\/p>\n http:\/\/twitter.com\/kaspersky\/status\/567359162536194048\/photo\/1<\/a><\/p>\n Uma vez que os computadores est\u00e3o comprometidos, os criminosos buscam acesso a uma conta de administrador, usando as credenciais roubadas para hackear o controlador do dom\u00ednio e roubar dinheiro de contas banc\u00e1rias, ou at\u00e9 alterar dados sobre os donos das empresas. <\/p>\n At\u00e9 onde sabemos, o Carbanak \u00e9 um grupo informacional, que inclui criminosos da R\u00fassia, China, Ucr\u00e2nia e outros pa\u00edses europeus. A gangue consiste em dezenas de pessoas. Voc\u00ea pode saber mais sobre os cibercriminosos neste post. <\/p>\n Sou banc\u00e1rio. O que devo fazer?<\/strong> Como conclus\u00e3o, gostar\u00edamos de ressaltar que as solu\u00e7\u00f5es da Kaspersky Lab detectam e desarmam todos os malwares conhecidos criados pela Carbanak, Metel e GCMAN. <\/p>\n","protected":false},"excerpt":{"rendered":" Em 2015, vimos a ascens\u00e3o de cibercriminosos autores de ciberataques relacionados a bancos. Diversos grupos dominaram t\u00e9cnicas e ferramentas de APT, colocando as m\u00e3os no dinheiro de pelo menos 29<\/p>\n","protected":false},"author":61,"featured_media":5964,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[888,520,889,887,92],"class_list":{"0":"post-5963","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-bancos","10":"tag-carbanak","11":"tag-spear-phishing","12":"tag-thesas2016","13":"tag-trojan"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/metel-gcman-carbanak\/5963\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/metel-gcman-carbanak\/6649\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/metel-gcman-carbanak\/6728\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/metel-gcman-carbanak\/6638\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/metel-gcman-carbanak\/7650\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/metel-gcman-carbanak\/7418\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/metel-gcman-carbanak\/10777\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/metel-gcman-carbanak\/11236\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/metel-gcman-carbanak\/5195\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/metel-gcman-carbanak\/6945\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/metel-gcman-carbanak\/10350\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/metel-gcman-carbanak\/10777\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/metel-gcman-carbanak\/11236\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/metel-gcman-carbanak\/11236\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/bancos\/","name":"bancos"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5963","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=5963"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5963\/revisions"}],"predecessor-version":[{"id":13265,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5963\/revisions\/13265"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/5964"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=5963"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=5963"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=5963"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nOs criminosos infectaram computadores de funcion\u00e1rios de bancos sucessivamente com o aux\u00edlio de e-mails de spear phishing, que incluem arquivos execut\u00e1veis maliciosos, ou por meio de vulnerabilidades do navegador. <\/p>\n![](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2016\/02\/06135454\/metel-live-photo.jpg\")
<\/p>\n
\nCriminosos do grupo GCMAN implantaram uma opera\u00e7\u00e3o similar, mas no lugar de tirar dinheiro de caixas, transferiram para servi\u00e7os de pagamentos online. <\/p>\n
\nO grupo Carbanak age desde 2013<\/a>. Ocasionalmente desaparecem e voltam com um novo plano de ciberataque. Recentemente, o perfil das v\u00edtimas do Carbanak aumentou. Agora, visa departamentos financeiros de qualquer empresa de interesse, n\u00e3o s\u00f3 bancos. Esse grupo j\u00e1 roubou milh\u00f5es de empresas diferentes ao redor do mundo.<\/p>\n
\nSe voc\u00ea trabalha em uma organiza\u00e7\u00e3o financeira, voc\u00ea tem que ficar atento. Como j\u00e1 ficou claro com os exemplos acima, um dia voc\u00ea pode acabar sendo aquele funcion\u00e1rio que convida um cibercriminoso para dentro do escrit\u00f3rio. E aposto que voc\u00ea n\u00e3o quer nem pensar no que aconteceria se voc\u00ea for essa pessoa. Para evitar isso, indicamos os seguintes artigos:
\n\u2022\tPorque phishing funciona e como evit\u00e1-lo<\/a>
\n\u2022\tPorque \u00e9 necess\u00e1rio atualizar programas<\/a>
\n\u2022\tComo n\u00e3o se tornar v\u00edtima de um Trojan<\/a><\/p>\n