Nossos especialistas descobriram que cibercriminosos estão concentrando seus esforços em PMEs, e dando atenção especial aos contadores. Essa escolha é bastante lógica – estão em busca de acesso direto às finanças. A manifestação mais recente dessa tendência é um pico na atividade de Trojans, especificamente do Buhtrap e do RTM. Ambos possuem diferentes funcionalidades e formas de expansão, mas o mesmo propósito – roubar dinheiro de contas empresariais.
Ambas as ameaças são particularmente relevantes para empresas que trabalham em TI, serviços legais e produções em pequena escala. Isto talvez possa ser explicado pelo orçamento de segurança muito menor dessas organizações em comparação com empresas que trabalham no setor financeiro.
RTM
Geralmente, o RTM infecta vítimas por meio de e-mails de phishing. As mensagens imitam correspondências empresariais comuns (incluindo frases como “pedido de devolução”, “cópias dos documentos do mês passado” ou “solicitação de pagamento”). Clicar em um link ou abrir um anexo leva à infecção imediata, e dá aos operadores acesso completo ao sistema infectado.
Em 2017, nossos sistemas registraram 2,3 mil usuários atacados pelo RTM. Em 2018, 130 mil alvos. E passados apenas dois meses de 2019, já vimos mais de 30 mil usuários que encontraram esse Trojan. Se a tendência continuar, vai bater o recorde do ano passado. Por enquanto, podemos considerar o RTM como um dos Trojans financeiros mais ativos.
A maioria dos alvos do RTM opera na Rússia. No entanto, nossos especialistas esperam que o vírus cruze fronteiras e eventualmente ataque usuários de outros países.
Buhtrap
O primeiro encontro com o Buhtrap foi em 2014. Naquela época, esse era o nome de um grupo cibercriminoso que roubava dinheiro de estabelecimentos financeiros russos – um montante de pelo menos U$ 150 mil por golpe. Depois que os códigos-fonte das suas ferramentas se tornaram públicos em 2016, o nome foi utilizado para o Trojan financeiro.
O Buhtrap ressurgiu no início de 2017 na campanha TwoBee, quando serviu principalmente como um meio de entrega de malwares. Em março do ano passado, invadiu as notícias (literalmente), espalhando-se pelos sites dos principais veículos de mídia, cujas páginas principais tinham sido comprometidas por scripts implantados por atores maliciosos. Esses scripts executaram um exploit nos navegadores Internet Explorer de visitantes.
Poucos meses depois, em julho, cibercriminosos diminuíram seu público-alvo e se concentraram em um grupo de usuários específico: contadores que trabalham em empresas de pequeno e médio porte. Por esse motivo, criaram sites com informações direcionadas para esses profissionais.
Relembramos esse malware por causa de um novo pico, que começou no fim de 2018 e continua até hoje. Ao todo, nossos sistemas de proteção evitaram mais de 5 mil tentativas de ataques do Buhtrap, sendo 250 desde o início de 2019.
Exatamente como da última vez, o Buhtrap está se espalhando por meio de exploits embedados em portais de notícia. Como de costume, usuários do Internet Explorer estão no grupo de risco. O IE utiliza um protocolo criptografado para baixar malwares de sites infectados, e isso complica a análise e permite que o vírus se esconda de algumas soluções de segurança. E sim, ainda utiliza uma vulnerabilidade que foi descoberta em 2018.
Como resultado da infecção, tanto o Buhtrap como o RTM permitem acesso completo a estações de trabalho comprometidas. Isso permite que cibercriminosos modifiquem os arquivos usados para trocas de dados entre sistemas de contabilidade e bancários. Esses arquivos possuem nomes padronizados e nenhuma medida de proteção adicional, de forma que os bandidos podem modificá-los como quiserem. Estimar os danos é desafiador, mas conforme observamos, os criminosos estão desviando fundos em transações que não ultrapassam os U$ 15 mil cada.
O que pode ser feito?
Para proteger sua empresa contra essas ameaças, recomendamos dar atenção especial à proteção de computadores – como os de contadores e administradores – que possuem acesso a sistemas financeiros. É claro, todas as outras máquinas precisam ser protegidas também. Aqui estão algumas dicas mais práticas:
- Instale patches de segurança e atualizações para todos os softwares assim que possível.
- Proíba, dentro do possível, o uso de ferramentas de administração remota nos computadores de contadores.
- Proíba a instalação de qualquer programa não-autorizado.
- Melhore a conscientização geral sobre segurança dos funcionários que trabalham com finanças, mas também foque em práticas antiphishing.
- Instale uma solução de segurança com tecnologias de análise comportamental ativa como o Kaspersky Endpoint Security for Business.