AllEasy

Segurança TI para Instituições Financeiras

Trojan bancário Amalvado: proteja-se para não se tornar uma vítima

Recentemente, um estudo sobre trojan bancário identificou mais de dez famílias de malware criadas para atacar especificamente os bancos da América Latina. A pesquisa estudou as cadeias de distribuição e o comportamento dos trojans. Entras as novas famílias, foi encontrado o Amalvado, um trojan bancário que vem ameaçando bancos brasileiros.

Os trojans bancários voltados especificamente para a América Latina compartilham um conjunto de características comuns. Além disso, eles são escritos na linguagem de programação Delphi. Ou seja, abusam de ferramentas e software legítimos e têm como alvo países de língua espanhola ou portuguesa.

Mas o que é o Amalvado e como se proteger dele? Continue lendo e descubra conosco como identificar um trojan bancário. Além disso, quais medidas de segurança são essenciais para evitar um ataque!

A ameaça do trojan bancário na América Latina

Em 2018, ataques de destaque a bancos no México e no Chile deixaram claro que os serviços financeiros da América Latina são alvo de hackers estrangeiros. Ao mesmo tempo, juntamente com essa atenção internacional relativamente nova, é provável que também cresça os recursos dos cibercriminosos latino-americanos criados por aqui.

Dessa forma, com evidências claras de que o malware desenvolvido especialmente para a América Latina está sendo adaptado para o mercado de exportação.

Os cibercriminosos são organizados, bem financiados e geograficamente irrestritos. Os ladrões não precisam mais entrar em uma agência bancária ou mesmo no país em que sua meta está localizada. Criminosos sofisticados atacam qualquer banco que ofereça o maior retorno sobre o investimento, independentemente de onde ele esteja.

Portanto, todos os bancos devem garantir que eles tenham recursos técnicos suficientes. Em suma, com pessoal treinado adequadamente e procedimentos adequados para se defender contra os cibercriminosos.  Assim, garantindo que os negócios sejam suficientemente resilientes.

Na América Latina e em todo o mundo, a resiliência cibernética requer envolvimento desde o c-level até o caixa do banco.

Dessa maneira, embora os esforços individuais para melhorar a segurança sejam vitais, os cibercriminosos também identificam pontos fracos no ecossistema de um banco de um país ou região. Ou seja, como práticas comuns no processamento de pagamentos ou software comumente usados.

Consequentemente, é provável que um ataque a um banco leve a uma invasão semelhante a muitos bancos da região. Por esse motivo, o compartilhamento eficiente de informações entre bancos e agências é um fator importante para aumentar a resiliência contra o trojan bancário em todo o sistema. Consequentemente, reduzindo o custo financeiro e de reputação dos ataques.

Como funciona o trojan bancário Amalvado

Diferentemente da maioria dos trojans bancários, aqueles que visam a América Latina usam uma forma de engenharia social. Eles detectam continuamente janelas ativas no computador da vítima e, se encontrarem uma relacionada a um banco, iniciam um ataque.

Esses ataques geralmente se concentram em convencer a vítima a tomar uma ação urgente ou necessária, geralmente, na forma de uma atualização de software ou verificação de informações de cartão de crédito ou credenciais de conta bancária.

A família de malware recém-identificada Amavaldo pode ser caracterizada pelo uso de um esquema de criptografia personalizado usado para ofuscação de cadeia.

Assim, semelhante a outro trojan bancário, a família de Amavaldo utiliza comandos de backdoor quando se infiltra. Ou seja, incluindo a captura e de fotos da vítima via webcam, a restrição de acesso a vários sites bancários e a simulação de mouse e teclado.

O trojan bancário Amavaldo usa uma técnica sofisticada de ataque. Assim, após detectar uma janela relacionada ao banco, uma captura de tela é tirada da área de trabalho e feita para parecer com o novo papel de parede.

Por fim, uma janela pop-up falsa é exibida. Assim, impedindo a vítima de interagir com qualquer outra coisa fora da janela.

Veja mais >> Segurança de e-mail: sua empresa está protegida?

Como se proteger de um trojan bancário

Embora o setor de serviços financeiros esteja entre os setores mais avançados no uso de TI e tenha investido enormemente em seus sistemas de segurança, continua sendo um alvo claro para os cibercriminosos — e essa ameaça está crescendo.

Como tal, o setor está constantemente procurando maneiras de gerenciar os riscos que enfrentam, sabendo que uma violação cibernética pode ocorrer a qualquer momento para qualquer instituição.

O Fórum Econômico Mundial (WEF) citou os ataques cibernéticos como um dos principais riscos globais. Sua análise mostra que, em todo o mundo, os mocinhos não estão vencendo a luta de forma alguma – ciberataques estavam entre os dez principais riscos do WEF em 2016; eles se mudaram para o top cinco em 2017; e em 2018 eles apresentam os três principais riscos para a economia global.

Embora nenhum sistema possa ser perfeitamente seguro, existem várias práticas recomendadas que as organizações do setor bancário podem empregar para se protegerem dos métodos complexos implantados contra eles.

Aqui estão as práticas recomendadas de segurança cibernética para instituições financeiras:

1. Proteger seu ambiente

A incorporação de segurança no design de sua arquitetura de rede deve ser um princípio essencial de sua abordagem. Isso também deve incluir medidas de segurança física, como limitar os direitos de acesso a áreas sensíveis ao pessoal autorizado e garantir a existência de processos para controlar e monitorar ativamente quem está acessando essas áreas. Além disso, esse pessoal autorizado deve ser rastreado e treinado adequadamente.

2. Conhecer e limitar o acesso

Depois de construir essas defesas para se proteger contra invasores que entram pela porta da frente, você deve implementar procedimentos e processos operacionais para limitar e proteger os privilégios de administrador e sistema. Posteriormente,

Após o bloqueio desses privilégios, é necessária uma implementação rigorosa de regras de gerenciamentPo de ID e senha para garantir controles básicos de acesso.

3. Usar soluções antimalware

Medidas preventivas só vão até certo ponto; a detecção e resposta são igualmente críticas. É vital para sua capacidade de responder em tempo hábil, ter recursos adequados de detecção de intrusões, como antimalware, fornecidos por meio de uma série de gatilhos e fios de disparo para iniciar alertas para atividades suspeitas.

seguranca_email

4. Conhecer o seu adversário

Garanta que você esteja constantemente coletando informações sobre ameaças sobre seu adversário, pois é vital para protegê-lo. A inteligência sobre ameaças desempenha um papel fundamental no auxílio ao desenvolvimento de software e atualizações de aplicativos antivírus.

5. Conhecer suas contrapartes

Seu entendimento dos riscos de crédito e conformidade de possíveis contrapartes é essencial para a tomada de decisões sobre como você faz negócios com eles. As considerações cibernéticas também devem ser parte integrante desses processos rotineiros do Know Your Customer (KYC).

6. Implementar controles de negócios

Ao implantar controles comerciais adicionais, você pode executar ações preventivas e corretivas oportunas contra atividades suspeitas. Por exemplo, ao filtrar as mensagens enviadas contra um conjunto de regras rigidamente configurado, você pode rastrear seus pagamentos efetuados para detectar fluxos ilícitos ou incomuns de mensagens.

A capacidade de detectar essas mensagens fora da política, antes de serem enviadas, pode alertá-lo sobre um possível comprometimento. Assim, permitir que você tome medidas corretivas imediatas e, finalmente, impedir solicitações de transferência fraudulentas deixando sua organização.

7. Planeje a resposta a incidentes

A segurança não é um status absoluto, a preparação para o pior é tão importante quanto se defender. Você deve desenvolver e instituir uma política de recuperação para garantir que esteja equipado para responder rapidamente a atividades fraudulentas. Se atividades fraudulentas ou suspeitas forem detectadas, medidas apropriadas deverão ser tomadas imediatamente.

Com os processos corretos, você tem a oportunidade de minimizar a perda de fraude e/ou aumentar a probabilidade de recuperação de fundos.

Da mesma forma, é importante garantir seu entendimento sobre as ações internas que você deve executar ao responder a um incidente. Bem como sobre os processos ensaiados para apoiá-los.

Agora que você conhece mais sobre o trojan bancário Amalvado, continue aprendendo sobre como manter sua instituição segura: veja mais sobre os ataques DDoS e as medidas de proteção adequadas!

 

Matérias relacionadas