Campanha de fraude bancária rouba meio milhão de euros

Os analistas da equipa GREAT da Kaspersky Lab descobriram provas de um ataque dirigido contra os clientes de um grande banco europeu, denominado Luuuk. Conforme os registos detetados no servidor utilizado pelos cibercriminosos, em apenas uma semana foi roubado mais de meio milhão de euros procedentes das contas do referido banco.

Os primeiros sinais desta campanha foram descobertos a 20 de Janeiro, quando os peritos da Kaspersky Lab detetaram um servidor C&C na rede. O painel de controlo deste servidor indicava a utilização de um trojan concebido especificamente para roubar o dinheiro das contas bancárias.

Os analistas também detetaram registos nesse servidor que continham informação sobre as somas de dinheiro que tinham sido subtraídas de cada conta. No total, foi possível identificar mais de 190 vítimas, a maioria localizada em Itália e Turquia. Os montantes roubados de cada conta oscilavam entre os 1.700 e os 39.000 euros, de acordo com os registos.

A campanha contava com, pelo menos, uma semana de vida quando o C&C foi descoberto, tendo tido início, o mais tardar, em 13 de Janeiro deste ano. Nesse período, os cibercriminosos já tinham conseguido roubar mais de 500 mil euros. Dois dias antes da descoberta do servidor C&C, os delinquentes tinham já eliminado qualquer prova que pudesse ser usada para os apanhar. No entanto, os analistas acreditam que isto está relacionado com alterações efetuadas na infraestrutura técnica utilizada na campanha maliciosa, e não necessariamente com o fim do Luuuk.

No caso do Luuuk, os peritos têm motivos para acreditar que se intercetaram automaticamente importantes dados financeiros e que as transações fraudulentas foram realizadas assim que as vítimas se identificaram nas suas contas bancárias online. “No servidor C&C detetámos que não havia informação sobre que programa de malware específico tinha sido usado nesta campanha. No entanto, muitas variantes do Zeus (Citadel, SpyEye, ICEIX…) têm essa capacidade. Acreditamos que no malware usado nesta campanha foi usado algum ‘ingrediente’ do Zeus e uma web sofisticada para injetar malware”, sublinha Vicente Díaz, analista de malware sénior da Kaspersky Lab.

O dinheiro roubado foi transferido para as contas do cibercriminosos de uma forma pouco usual. Os analistas da Kaspersky Lab notaram uma peculiaridade na organização dos chamados ‘drops‘ (ou mulas monetárias), onde os participantes no esquema recebem uma parte do dinheiro roubado em contas bancárias especialmente criadas e dinheiro vivo através de caixas automáticas. Existem provas da existência de vários grupos de ‘drops‘, cada um com uma atribuição de dinheiro distinta. Um grupo tinha atribuídas somas entre 40 mil e 50 mil euros, outro entre 15 mil e 20 mil e um terceiro não mais do que 2 mil euros.

“Estas diferenças nos montantes de dinheiro obtido podem indicar uma variação nos níveis de confiança em cada tipo de ‘drop’. Sabemos que alguns membros destas organizações muitas vezes passam a perna aos seus ‘colaboradores’ e fogem com o dinheiro que, supostamente, teriam em notas. Os chefes do Luuuk poderiam, desta forma, tratar de se proteger contra estas perdas, estabelecendo diferentes grupos com diferentes níveis de confiança: quanto mais dinheiro é pedido a um grupo, mais se confia nele”, explica Vicente Díaz.

O servidor C&C implicado no Luuuk foi encerrado pouco depois do início da investigação. No entanto, o complexo nível da operação MITB pode indicar que os atacantes continuarão a procurar novas vítimas para esta campanha.