O vírus trojan.TrickOrTreat é um vírus do tipo “cavalo de Tróia – Trojan -” que está causando prejuízos aos clientes do banco Santander. O malware simula uma atualização do módulo de segurança do banco.
Os especialistas da AAinFo Tecnologia identificaram este ataque em pelo menos 3 empresas no ano de 2023. Entenda como ocorre o ataque.
Como corre a infecção
O programa malicioso pode ser recebido através de emails, programas baixados da internet e até em sites falsos que simulam algum serviço.
Após a infeção o vírus instala um arquivo com extensão .dll que contém o código malicioso e também a versão portátil de um sistema de VPN, que possibilita que o hacker tome o controle do computador da vítima.
Nos ataques que presenciamos, o mecanismo de VPN utilizado foi o PROTON VPN.
Ainda não temos certeza que este vírus de trata do mesmo tratado nesta outra postagem.
Como ocorre o ataque
Após infectado pelo “doces ou travessuras”, o vírus monitora a atividade do usuário, onde pode ter acesso às senhas do usuário e ao códigos aleatórios gerados pelo token que são digitados pelo usuário..
Ao logar em sua conta no banco Santander, o vírus exibe uma mensagem de alerta para o usuário simulando uma suporta atualização do módulo de segurança do banco e solicita ao usuário que não interrompa o processo e nem desconecte o computador.
Infelizmente não conseguimos uma imagem desta pois estávamos focados em solucionar o problema.
O Vírus faz um print da tela do usuário e passa a exibir este print em primeiro plano, ocultando a verdadeira tela do navegador, para ocultar a atividade do hacker em segundo plano.
O Vírus aciona, então o aplicativo de VPN, fechando uma conexão criptografada entre o computador do do hacker e da vítima, o que possibilita que o criminoso tome o controle da máquina atacada sem que o usuário perceba o que está ocorrendo.
Os comandos de teclado e mouse não funcionam e, por mais que o usuário tente, não consegue realizar qualquer atividade.
Para que o usuário não pense que o computador está travado e queira reiniciar, o vírus continua exibindo uma tela de progresso da atualização.
Enquanto o usuário aguarda a suposta atualização, o hacker que já tomou o controle do computador em segundo plano, está realizando transferências, PIX e outras movimentações em segundo plano.
Quando o hacker já limpou a conta da vítima, ele encerra aconexão, o vírus se esconde e libera a tela para o usuário.
Quais bancos estão sujeitos ao ataque
Os analistas da AAinFo presenciaram o ataque em 3 clientes, todos eles eram clientes Santander e todos os ataques ocorreram nas contas bancárias relacionadas a este banco.
Até o momento não temos conhecimento de casos de ataques a outros bancos.
Apesar de o banco Santander exigir o uso de um token isso não está sendo suficiente para impedir os criminosos de realizarem os ataques.
Como agir em caso de ataque
Os cybercriminosos levam menos de 2 minutos para se conctar ao seu computador e efetuar as primeiras transações iletítimas.
Em caso de ataque, você deve desligar o computador imediatamente ou se desconctar da internet, desligando o cabo de rede ou roteador WI-FI.
Certamente você não terá acesso ao “desligar” do windows, portanto segure o botão “Power”, aquele de você usa pra ligar o computador, pressionado até que o computador apague.
Chame imediatamente o TI, descreva o problema e mostre esta postagem para que ele saiba com o que está lidando, caso nunca tenha se deparado com este tipo de ataque.
Quebra de Segurança do Token
O token é um dispositivo físico, sem conexão à internet que gera um código aleatório e é utilizado como senha para transações. O banco conhece o algorítimo utilizado pelo dispositivo e consegue confirmar se a senha é válida.
Aparentemente, os hacker tiveram acesso a este algorítimo e conseguem, após monitorar o uso por parte do usuário, sincronizar um “token” falso e dessa forma realizar as transações sem que o banco consiga identificar que não se trata do cliente.
Quem é responsável pelo prejuízo
A legislação vigente diz que o banco é responsável pela segurança dos usuários, portanto, em teoria, o banco deve ressarcir os clientes pelos prejuízos eventualmente causados pelo ataque.
A contaminação pelo vírus TrickOrTreat é de responsabilidade do cliente que deve sempre manter seu computador com um bom antivírus, e somente utilizar programas originais, o cliente é o responsável pelo computador ter sido contaminado.
Apesar disso, é o banco quem deve garantir que seu sistema não possua falhas de segurança. No caso específico dos ataques que presenciamos, fica claro que os criminosos exploraram uma falha de segurança ou uma tecnologia já defasada utilizada pelo banco, portanto, a nosso ver, a responsabilidade é do banco.
Fica claro também que para que o ataque funcione é necessário que o usuário seja enganado, através de métodos de engenharia social, e dessa forma colabore inconscientemente para que ocorra o ataque.
É realmente um problema grave, conheço pelo menos 3 pessoas que perderam dinheiro com este vírus.