Ataque Luuuk a banco desviou 500 mil euros em uma única semana
Ainda não está claro qual o malware utilizado no esquema fraudulento. Foi possível identificar mais de 190 vítimas, a maioria localizada na Itália e na Turquia.
Os especialistas da Equipe de Pesquisa e Análise Global da Kaspersky Lab identificaram um novo esquema malware chamado Luuuk direcionado contra clientes de um grande banco europeu. De acordo com os registros no servidor usado pelos invasores, ao que tudo indica em apenas uma semana os cibercriminosos roubaram mais de meio milhão de euros das contas do banco.
Os primeiros indícios dessa campanha foram descobertos em 20 de janeiro deste ano, quando os especialistas da Kaspersky Lab encontraram o servidor de Comando e Controle (C&C) usado nos ataques. O painel de controle do servidor indicava sinais de um Cavalo de Troia bancário usado para roubar dinheiro das contas dos clientes.
Itália e Turquia
Os especialistas também detectaram logs de transações no servidor com informações sobre as contas e quanto foi retirado de cada uma delas. Ao todo, foi possível identificar mais de 190 vítimas, a maioria localizada na Itália e na Turquia. As quantias roubadas de cada conta, de acordo com os registros, variou entre 1,7 e 39 mil euros.
A campanha tinha pelo menos uma semana quando o C&C foi descoberto; ela começou em 13 de janeiro de 2014. Nesse meio tempo, os criminosos virtuais roubaram mais de 500 mil euros. Dois dias depois de descoberto o servidor C&C, os criminosos eliminaram todas as evidências que poderiam ser usadas para rastreá-los. No entanto, os especialistas acreditam que isso ocorreu por causa de mudanças na infraestrutura técnica usada na campanha maliciosa, resultando, de certa forma, no final da campanha Luuuk.
“Logo depois que detectamos o servidor C&C, entramos em contato com o serviço de segurança do banco e as autoridades competentes e enviamos todas as evidências que tínhamos para eles”, informou Vicente Diaz, pesquisador senior de segurança da Kaspersky Lab.
Ferramentas maliciosas utilizadas
No caso do LUUUK, os especialistas têm motivos para acreditar que dados financeiros importantes foram interceptados automaticamente e as transações fraudulentas eram realizadas assim que a vítima entrava em sua conta bancária online.
"Não havia no servidor C&C informações sobre o malware específico usado nessa campanha. Contudo, muitas variações existentes do Zeus (Citadel, SpyEye, IceIX, etc.) têm os recursos necessários. Acreditamos que o malware usado na campanha pode ser uma variante do Zeus, que faz injeções sofisticadas da página web do banco, quando visitada a partir do computador das vítimas", acrescentou Vicente Diaz.
Alienação de investimentos financeiros
O dinheiro roubado foi repassado para as contas dos criminosos de uma forma incomum. "Nossos especialistas observaram uma peculiaridade na organização dos chamados ‘laranjas’ (ou mulas): os envolvidos no golpe recebiam parte do dinheiro roubado em contas bancárias abertas especialmente para isso e faziam saques em caixas eletrônicos", diz o especialista.
Há evidências de vários grupos de ‘laranjas’, aos quais foram destinados somas de dinheiro diferentes. Um grupo foi responsável pela transferência de valores entre 40 e 50 mil euros; outro, entre 15 e 20 mil euros e, o terceiro, de no máximo 2 mil euros.
"Essas diferenças nas quantias confiadas aos diversos laranjas podem indicar níveis variados de confiança. Sabemos que, muitas vezes, os participantes desses esquemas enganam seus parceiros e somem com o dinheiro que deveria ser descontado. Provavelmente, os criminosos que comandam a operação Luuuk tentam reduzir o risco desses prejuízos criando diversos grupos com níveis de confiança diferentes: quanto mais confiável é um ‘laranja’, mais dinheiro ele pode movimentar", disse ainda Vicente Diaz.
O servidor C&C vinculado ao Luuuk foi desligado logo após o início das investigações. No entanto, o nível de complexidade da operação MITB (man in the browser) sugere que os atacantes continuarão procurando novas vítimas para essa campanha. Os especialistas da Kaspersky Lab estão empenhados na investigação contínua das atividades do Luuuk.