"Amavaldo" fajar perbankan baru di Amerika Latin

Laboratorium Penelitian ESET telah memantau aktivitas beberapa keluarga Trojan perbankan yang berusaha membujuk korban mereka untuk mendapatkan informasi keuangan mereka.

Para peneliti dari ESET, sebuah perusahaan pendeteksi ancaman proaktif terkemuka, menyajikan penyelidikan di mana mereka mengidentifikasi Trojan perbankan baru yang secara khusus menargetkan Amerika Latin. Saat menganalisis Trojan perbankan, ESET mengidentifikasi lebih dari sepuluh keluarga malware baru yang ditakdirkan untuk negara berbahasa Spanyol atau Portugis.

Trojan Perbankan yang menargetkan Amerika Latin menggunakan bentuk rekayasa sosial yang difokuskan pada upaya untuk menipu pengguna di wilayah tersebut. Mereka dirancang untuk terus mendeteksi jendela aktif di komputer korban, dan jika mereka menemukan yang terkait dengan bank, mereka meluncurkan serangan.

Serangan-serangan ini umumnya berfokus pada membujuk korban untuk mengambil tindakan yang mendesak atau perlu. Pembaruan aplikasi perbankan yang digunakan oleh korban dapat ditautkan, atau verifikasi informasi kartu kredit dan kredensial akses ke rekening bank. Dengan cara ini, jendela sembul palsu digunakan untuk mencuri data ini begitu korban memasukkannya atau papan ketik virtual yang bertindak sebagai keylogger juga digunakan. Informasi sensitif kemudian dikirim ke penyerang, yang akan menggunakan informasi ini dengan cara yang menurutnya paling nyaman.

Keyboard virtual dengan keylogger berpura-pura menjadi bank di Brasil. Deskripsi gambar menunjukkan bagaimana korban diminta untuk memasukkan kata sandi menggunakan tombol.

Dalam keluarga malware yang baru ditemukan, Amavododo dikarakteristikkan dengan penggunaan skema enkripsi khusus yang digunakan untuk kebingungan rantai. Setelah kode berbahaya dipasang, Anda dapat menerima perintah untuk melakukan tindakan berbeda pada mesin korban: • Mengambil foto korban melalui webcam • Merekam teks yang dimasukkan melalui keyboard • Mengunduh dan menjalankan program lain • Batasi akses ke beberapa situs perbankan • Simulasi keyboard dan mouse • Pembaruan otomatis Selain itu, Amavaldo menggunakan teknik serangan canggih: setelah mendeteksi jendela yang berhubungan dengan bank, dibutuhkan screenshot dari desktop dan membuatnya tampak seperti yang baru wallpaper. Kemudian akan muncul jendela sembul palsu yang dipilih berdasarkan teks jendela aktif sembari menonaktifkan beberapa pintasan papan ketik dan mencegah korban berinteraksi dengan aplikasi tambahan apa pun selain jendela sembulan. Dari Laboratorium ESET diyakini bahwa file berbahaya yang digunakan untuk menginfeksi perangkat korban disebarkan melalui kampanye email yang tidak diinginkan, dengan file yang disamarkan sebagai file PDF yang sah.

"Cara termudah untuk mendistribusikan Trojan perbankan ini adalah dengan menggunakan pengunduh (file yang dapat dieksekusi dari Windows) yang berpura-pura menjadi penginstal perangkat lunak yang sah. Metode ini menggunakan rantai multistage menggunakan beberapa lapisan pengunduh seperti JavaScript, PowerShell atau Visual Basic Script (VBS). Payload terakhir biasanya dikirim melalui file zip yang berisi trojan perbankan. ”, Kata Camilo Gutiérrez, Kepala Laboratorium Penelitian ESET Amerika Latin.