Em uma declaração recente de SRI (Serviço de Inteligência Romeno) mostra que durante esse período ciberataque o que visa clientes de plataformas de Internet Banking.
Por todas as contas, os clientes dos bancos romenos, que acessam o serviço de Internet Banking do seu PC através Chrome, Microsoft Edge ou Firefox, têm uma chance muito boa de se darem a conhecer credenciais de acesso (dados de acesso pessoal na plataforma financeiro-bancária) para aqueles que iniciaram o ataque. Dessa forma, pessoas maliciosas terão acesso a contas bancárias, dados de autenticação para serviços de email si dados financeiros. Observe que os aplicativos de Internet Banking não são afetados.
O SRI traz algumas recomendações para todos os clientes de bancos que usam serviços de Internet Banking:
"- uso de soluções antivírus e atualizando constantemente suas assinaturas;
- evite abrir anexos no formato de arquivo se sua procedência é incerta e se eles não foram verificados anteriormente com soluções de detecção antivírus;
- evite abrir anexos ou links de emails suspeitos;
- atualização do sistema operacional e evitando o uso de sistemas operacionais que não recebem mais suporte do fabricante;
- notificação ao banco quando você percebe transações bancárias que não lhe pertencem;
- desativar a execução automática algumas rotinas do MS Office (macroEC);
- evitar a execução manual de macrocorreções podem. "
* press release completo está disponível em sri.ro.
O grupo que lançou este ciberataque usa um dos mais bem sucedidos malwares da última década. Qbot.
QbotName faz parte de uma família de malwares (vírus) que ao longo dos anos sofreu muitas alterações no nível do código-fonte, sendo aperfeiçoadas por cibercrime e tornado "invisível" para a maioria software antivírus.
Nos primeiros dias do Qbot, era usado como um simples Vírus Trojan, capaz de entrar oculto sob várias formas de arquivos em um sistema Windows, para poder extrair dados confidenciais, incluindo usuários, senhas de autenticação nas plataformas de Internet Banking.
Nos últimos anos, o malware Qbot ganhou, além do potencial de Vírus Trojane o de verme (O sem-fim), capaz de se propagar em uma rede depois de inicialmente conseguir penetrar em um computador nela. Além disso, a ameaça atual coloca empresas de software antivírus em dificuldade. O Qbot pode ser controlado remotamente a partir de um servidor de comando e controle (CC), onde recebe regularmente atualizações capazes de ocultá-lo e passar facilmente o controle do software antivírus. Incluindo assinaturas digitais, que são detectadas como "seguras" pelo antivírus. Ou seja, se um software possui assinatura digital, não significa necessariamente que seja seguro, assim como um site com HTTPS (SSL) pode ter um aplicativo de malware em sua fonte ou para download. A pior parte é que as assinaturas digitais de aplicativos e segurança HTTPS de sites faz com que o navegador, sistema operacional ou antivírus não envie alertas de usuário. Um artigo sobre “HTTP / HTTPS" achar aqui.
Nos primeiros dias do Qbot, ele era entregue por código PowerShell. Seu lançamento dependia do código de Visual Básico (VBS) que a vítima deveria executar. Naquela época, as empresas que utilizavam com frequência os serviços de e-mail eram o alvo. Tornando-se um método comum de infiltração de aplicativos de malware, os códigos do PowerShell foram monitorados de perto por um software antivírus e o Qbot foi modificado, tornando a entrega por outros métodos mais difícil de intuir e detectar.
Atualmente, o malware Qbot pode ser executado automaticamente ou manualmente pela vítima, através de um arquivo MS Word cu macro (conjunto de instruções / rotinas). Esse arquivo chega por e-mail, na forma de uma mensagem "oficial" e "confiável", que em sua maioria não suspeita de software antivírus. Se você não abrir esses arquivos, estará seguro. Segue Conselhos SRI, você pode manter seus dados sensíveis / sensíveis em segurança.
Não esqueça isso o melhor software antivírus Eles são: cautela, atenção si consciência.
