Cuidado com o Trojan Houdini, ou Você pode Perder o Controle sobre o Seu Banco On-Line

Por apenas US $50 por mês, os criminosos cibernéticos podem participar de um fórum popular de hackers e alugar o que foi anunciado como RAT (WSH Remote Access Tool). Como descobriremos em um momento, pelo menos alguns deles parecem estar fazendo isso. O que eles podem não saber, no entanto, é que o WSH RAT é realmente a versão mais recente do Houdini - um malware de roubo de informações que existe há quase seis anos.

Pesquisadores da Cofense viram os anúncios do WSH RAT pela primeira vez em 2 de junho e, menos de cinco dias depois, viram o malware em campanhas de spam ativas. A conexão Houdini ficou visível assim que os especialistas atingiram o pico dentro do código. A configuração, as variáveis padrão e até a estrutura de URL da infraestrutura de Comando e Controle (C&C) eram idênticas às encontradas nas versões mais antigas do malware Houdini.

O nome Houdini vem do apelido on-line usado pelo autor do malware quando o RAT foi analisado pela primeira vez pelo FireEye em 2013. Acredita-se que seja da Argélia, o mesmo hacker provavelmente é responsável pelas operações njworm e njRAT, bem como pela nova encarnação de Houdini, ele/ela decidiu não se preocupar com muitas mudanças. Os especialistas da Cofense observaram que a base de código foi portada do Visual Basic para o JavaScript, mas não relataram nenhum outro recurso novo. Aparentemente, o autor de Houdini seguiu o lema "Se não estiver quebrado, não conserte".

Uma Campanha de Spam Bem Pensada

A julgar pelo relatório da Cofense, os criminosos que distribuem a versão mais recente de Houdini estão ocupados. As capturas de tela mostram que os emails são bem formatados, não há erros gramaticais particularmente óbvios, e o corpo da mensagem provoca uma sensação de urgência que deve induzir a vítima a acionar a cadeia de infecção.

Os pesquisadores viram e-mails com links e anexos clicáveis que vêm na forma de arquivos ZIP ou MHT. Um arquivo MHT funciona como um documento HTML normal e redireciona a vítima para um arquivo que contém a carga útil do Houdini.

O primeiro trabalho de Houdini após a execução é telefonar para casa e enviar algumas informações técnicas sobre o sistema comprometido. Depois disso, ele se acalma e aguarda os comandos. O RAT pode, entre outras coisas, excluir arquivos e pastas, matar processos, fazer upload de informações para o C&C, alterar entradas de inicialização, reiniciar ou desligar o PC, etc. Quando os pesquisadores do Cofense executaram a amostra que encontraram, no entanto, Houdini atuou como um conta-gotas.

O Houdini Baixa Módulos de Terceiros

Após a comunicação inicial da C&C, a versão mais recente do Houdini entrou em contato com uma URL diferente e baixou três arquivos com uma extensão .tar.gz. O Cofense aprendeu mais tarde que, na realidade, os três arquivos eram executáveis maliciosos do Windows.

Um deles era responsável por comprometer as credenciais de login de clientes de email, o segundo roubava senhas salvas no navegador e o terceiro vinha com recursos padrão de registro de chaves. Os especialistas da Cofense parecem confiantes de que essas cargas adicionais não foram desenvolvidas pelo autor original de Houdini, o que sugere que as pessoas que pagam a assinatura mensal podem estar adicionando alguns de seus próprios truques para tornar os ataques mais eficazes.

Os e-mails personificam bancos com grandes bases de clientes, o que sugere que o objetivo final dos criminosos provavelmente comprometerá as contas bancárias on-line das vítimas e o fato de terem derrotado alguns filtros de spam mostra que a ameaça é muito real. Tratar todas as mensagens, especialmente as que supostamente vêm do seu banco, com respeito é muito importante.