Read, hack, repeat

Assolando brasileiros desde 2018, trojan bancário Vadokrist evolui e preocupa pesquisadores

Guilherme Petry

O Vadokrist é um trojan bancário desenvolvido especialmente para infectar brasileiros e roubar dados de contas bancárias. Embora tenha sido descoberto há mais de três anos, o malware ainda está em plena atividade, cada vez mais otimizado, atualizado e com novas funções, o que faz os pesquisadores de segurança o considerarem como um malware atual.

De acordo com a ESET, que o estuda desde sua primeira aparição, em 2018, o Vadokrist compartilha diversos recursos com outros trojans bancários, principalmente os desenvolvidos com foco na população da América Latina, como o Amavaldo, Casbaneiro, Grandoreiro e o Mekotio.

Segundo Daniel Cunha Barbosa, pesquisador de segurança da informação da ESET no Brasil, o Vadokrist foi identificado pela primeira vez há cerca de três anos. Mas, embora seja um malware antigo, está em constante atualização.

“Boa parte das ameaças usadas por um longo período vão passando por transformações e ganham novas funcionalidades, otimização de desempenho, camadas adicionais de ofuscação, etc. Isso faz com que mesmo ameaças mais antigas sejam consideradas atuais, mas não seu código original, e sim suas variantes”, diz Daniel, em entrevista à The Hack.

Ameaça Vadokrist

Segundo a ESET, uma das principais características do Vadokrist é sua “desproporcional quantidade de código não utilizada”, o que, depois de uma análise profunda do código, foi identificado como uma estratégia para evitar ser detectado por aplicações de antivírus ou atrasar a sua análise.

Diferente da maioria dos trojans bancários, o Vadokrist tem uma abordagem mais minimalista. Ele só coleta os dados necessários, como o nome de usuário das vítimas, ao contrário dos outros, que coletam informações como nome do computador, versão do sistema operacional e outros. Além disso, o Vadokrist só coleta esses dados no momento do ataque e não assim que é instalado.

Mapa do procedimento de execução do Vadokrist. Foto: ESET.
Mapa do procedimento de execução do Vadokrist. Foto: ESET.

Uma vez que o malware infecta a máquina de uma vítima, um backdoor típico de trojan bancário é instalado, e alguns sites são proibidos de serem acessados, o que pode ser utilizado como uma ferramenta de detecção, já que o malware fecha o navegador, quando a vítima tenta acessar um dos sites proibidos. Os pesquisadores acreditam que essa estratégia funciona como uma proteção, impedindo a vítima de acessar suas contas, mantendo-as sob controle do cibercriminoso.

“Ele é capaz de manipular o mouse, simular e gravar pressionamentos de tecla, fazer capturas de tela e reiniciar a máquina. O Vadokrist também pode impedir o acesso a alguns sites, o que é feito de uma forma bastante desajeitada, encerrando o processo do navegador quando a vítima tenta visitar esses sites. Acreditamos que essa técnica seja usada para evitar que as vítimas acessem suas contas bancárias comprometidas, o que faz com que os atacantes possam continuar tendo o controle de cada uma delas”, escrevem.

Outra característica comum do Vadokrist, com relação aos seus “primos” Amavaldo e Casbaneiro, é o algorítimo de criptografia TripleKey, o que os tornam incomuns entre os malwares latinos, que normalmente não utilizam algorítimos de criptografias conhecidos.

Investigação

Daniel explica que o procedimento adotado pela ESET na análise do Vadokrist foi o padrão da empresa, que começa com o recebimento das informações que pode vir dos clientes, assim como também podem chegar através dos softwares de inteligência da empresa. Após isso, começam o processo de análise profunda das características e comportamento da ameaça.

Essa análise inicial gera uma grande quantidade de dados e informações que precisam ser organizadas, para obter dados mais específicos. Com os dados já filtrados e pré analisados, os pesquisadores comparam os códigos com o de outros malwares de bases já conhecidas e produzem os relatórios.

Sobre a descoberta do Vadokrist, Daniel explica que a sensação é de realização e dever cumprido. “Poder colaborar para tornar nossas soluções e o mundo como um todo cada vez mais seguros é algo em que acreditamos muito. Por isso, sempre buscamos novas e cada vez mais eficientes formas de identificação, detecção e resposta de ameaças, para que consigamos espalhar esses bons resultados para toda a comunidade de segurança", conclui o pesquisador.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.