O Silence junta-se agora ao grupo dos ciberataques «mais devastadores e complexos», ao lado de operações como o Metel, GCMAN ou o Carbanak, que foram bem-sucedidos ao obter milhões de dólares de organizações financeiras.
A maioria destas operações faz uso da seguinte técnica: os hackers obtém acesso às redes internas bancárias durante longos períodos de tempo, monitorizam a sua actividade diária, examinam os detalhes de cada rede bancária individual e, na altura certa, tiram partido desses conhecimentos para roubar o máximo de dinheiro possível. Este é o caso do Trojan Silence – que danifica a infraestrutura da vítima através de e-mails spear phishing.
Os anexos maliciosos dos emails são bastante sofisticados. Assim que a vítima os abre, é iniciado uma série de downloads e finalmente é executado o dropper. Este comunica com o comando e controla o servidor, envia o ID do computador infectado e faz download, ao mesmo tempo que executa programas maliciosos, responsáveis por diferentes tarefas como gravação de ecrã, carregamento de informações, roubo de credenciais, controlo remoto, etc.
Os hackers exploram as infraestruturas de instituições financeiras já atacadas para levar a cabo novos ataques, ao enviarem emails para novas vítimas, com um pedido para abrirem uma nova conta bancária, a partir de endereços verdadeiros de outros colaboradores. Ao utilizarem este truque, os hackers garantem que a vítima não suspeita do anexo infectado.
Quando os hackers obtém o acesso à rede, começam por examiná-la. O grupo Silence é capaz de monitorizar as actividades das suas vítimas, incluindo captar várias imagens do ecrã, fornecendo um vídeo em directo das actividades da vítima, etc.
Todas estas características servem apenas um propósito: compreender a actividade diária da vítima e obter informação suficiente para, eventualmente, roubar dinheiro. Este processo e forma de operar assemelha-se bastante às técnicas do Carbanak.
Com base em artefactos da linguagem obtidos durante a investigação aos componentes maliciosos deste ataque, os investigadores de segurança da Kaspersky Lab concluíram que os hackers responsáveis pelos ataques do Silence falam russo.
«O Trojan Silence é um exemplo recente onde vimos os hackers passarem de ataques direccionados aos utilizadores para ataques aos bancos. Temos acompanhado o crescimento desta tendência, à medida que mais ataques profissionais do estilo APT têm aparecido. A maior preocupação neste caso é o facto de estes ataques serem bem-sucedidos devido à sua abordagem na sombra, independentemente da arquitectura de segurança de cada banco», disse Sergey Lozhkin, especialista de segurança na Kaspersky Lab.
Via Kaspersky Lab.
