Trojans bancários e ransomware dominaram o cenário de malware em agosto

Zeus, Ramnit, Trickbot e Globe Imposter apareceram entre as famílias mais prevalentes, combinando roubo de credenciais bancárias, criptografia de arquivos e pressão financeira sobre vítimas.

Componente	Famílias de malware observadas em agosto: Zeus, Ramnit e Trickbot como trojans bancários; Globe Imposter como ransomware; Triada, Hiddad e Gooligan no ecossistema Android.
Vetor	Os trojans bancários atuam durante o acesso da vítima a sites bancários, usando keylogging, webinjects ou redirecionamento para páginas falsas; Globe Imposter foi distribuído por spam, malvertising e exploit kits.
Impacto	Roubo de credenciais, PINs e tokens em cenários bancários; criptografia de arquivos com extensão `.crypt` no caso do Globe Imposter; em Android, obtenção de privilégios elevados, abuso de apps repacotados e roubo de identificadores e tokens.
Prioridade	Reforçar detecção em navegador, endpoint, e-mail, tráfego web e dispositivos Android, priorizando sinais de injeção em sessões bancárias, redirecionamentos suspeitos, criptografia em massa de arquivos e instalação de apps fora de lojas confiáveis.
Artefatos	Globe Imposter anexa a extensão `.crypt` aos arquivos cifrados; Triada pode se incorporar a processos do sistema após conceder privilégios de superusuário a malware baixado.
Tendência	RoughTed permaneceu como malware mais prevalente em agosto, com impacto global abaixo de 12% das organizações; Globe Imposter ficou em segundo lugar com 6%, e Hacker Defender em terceiro com 4%.

Resumo técnico

O panorama de malware observado em agosto mostrou uma pressão financeira direta contra usuários e organizações, com trojans bancários e ransomware ocupando posições relevantes entre as famílias mais prevalentes. Zeus, Ramnit e Trickbot apareceram entre os dez principais malwares do período, indicando que técnicas antigas de fraude bancária continuavam operacionalmente úteis. A relevância desses trojans não está apenas na capacidade de infectar endpoints, mas na forma como exploram o momento de maior valor da sessão do usuário: o acesso ao banco. Quando a vítima navega para um site bancário, esse tipo de malware pode registrar entradas de teclado, alterar a página apresentada pelo navegador ou conduzir o usuário para uma interface falsa com aparência legítima.

O mesmo levantamento colocou o Globe Imposter como o segundo malware mais prevalente no mês, com impacto global de 6%. Embora identificado em maio de 2017, o ransomware passou a se disseminar com mais força em agosto por meio de campanhas de spam, malvertising e exploit kits. Após a criptografia, os arquivos afetados recebem a extensão .crypt, e a vítima é pressionada a pagar para recuperar dados considerados valiosos. A combinação de ransomware com trojans bancários no topo da atividade reforça um padrão operacional centrado em monetização: roubo de credenciais de acesso financeiro, captura de dados sensíveis e extorsão baseada em indisponibilidade de arquivos.

No mesmo período, RoughTed permaneceu como o malware de maior prevalência, ainda que seu impacto global tenha caído de 18% para menos de 12% das organizações. Hacker Defender apareceu em terceiro lugar, com impacto de 4%. A presença desses nomes no ranking mostra um ambiente com múltiplas classes de ameaça coexistindo: campanhas de grande alcance, ferramentas associadas a ocultação ou comprometimento persistente, fraudes bancárias e criptografia extorsiva. Para defesa, a leitura correta não é tratar cada família como um caso isolado, mas mapear quais controles observam a cadeia de infecção, a execução no endpoint, a manipulação de navegador, a alteração de arquivos e o comportamento anômalo em dispositivos móveis.

Fluxo técnico

Zeus, Ramnit e Trickbot representam uma classe de ameaça que depende de visibilidade sobre a atividade do usuário no navegador. O fluxo descrito para esses trojans começa com a identificação de uma sessão bancária. A partir desse ponto, o malware pode capturar credenciais básicas por keylogging, interceptar informações sensíveis como PINs ou modificar o conteúdo visto pelo usuário por meio de webinjects. Em vez de depender apenas de formulários falsos enviados por e-mail, o operador busca interferir na sessão real, no contexto em que a vítima já confia no site acessado. Essa condição aumenta o valor defensivo de telemetria de navegador, integridade de página, extensões instaladas, processos que interagem com o navegador e eventos de autenticação bancária que destoem do perfil normal.

Outra técnica citada para os trojans bancários é o redirecionamento para sites fraudulentos que imitam portais legítimos. Nesse fluxo, a vítima acredita estar interagindo com a instituição correta, mas entrega credenciais ao ambiente controlado pelo atacante. O ponto crítico para defesa é que a fraude pode ocorrer antes mesmo de qualquer movimentação financeira visível, porque a coleta de usuário, senha, PIN ou informação adicional permite reutilização posterior. Controles de DNS, proxy, reputação web, inspeção de certificados, bloqueio de domínios recém-observados e análise de comportamento de autenticação ajudam a reduzir esse risco, desde que sejam acompanhados de resposta rápida quando um endpoint demonstra sinais de manipulação de navegação.

O Globe Imposter segue uma lógica diferente. A cadeia apontada envolve distribuição por spam, malvertising e exploit kits, seguida de criptografia dos arquivos no sistema comprometido. A extensão .crypt anexada aos arquivos é um artefato importante porque permite correlação entre alerta de endpoint, reclamação do usuário e varredura em compartilhamentos acessíveis. O impacto confirmado no contexto é a indisponibilidade dos arquivos criptografados e a exigência de pagamento em troca da suposta descriptografia. Não há base no material para afirmar exfiltração, roubo de dados ou movimentação lateral; portanto, a resposta deve se concentrar em contenção do host, preservação de evidências, verificação de backups, identificação do vetor inicial e bloqueio de novos eventos de criptografia.

No ambiente Android, Triada apareceu como o malware móvel mais prevalente do período, seguido por Hiddad e Gooligan. Triada é descrito como um backdoor modular para Android capaz de conceder privilégios de superusuário a malware baixado, permitindo que componentes maliciosos se incorporem a processos do sistema. O mesmo malware também foi observado falsificando URLs carregadas no navegador. Hiddad atua por repacotamento de aplicativos legítimos e distribuição por loja de terceiros, tendo como função principal a exibição de anúncios, mas com capacidade de acessar detalhes de segurança do sistema operacional que podem expor dados sensíveis. Gooligan, por sua vez, é descrito como capaz de obter root no dispositivo e roubar endereços de e-mail e tokens de autenticação armazenados.

Superfície afetada

A superfície exposta pelos trojans bancários inclui estáções de trabalho, navegadores, sessões autenticadas em serviços financeiros e qualquer canal onde credenciais ou PINs sejam digitados. O risco não depende apenas de um aplicativo bancário vulnerável; ele nasce da presença de malware no ambiente do usuário, observando ou alterando a interação com páginas legítimas. Organizações com usuários que acessam bancos a partir de endpoints corporativos, ambientes sem isolamento de navegação ou máquinas com baixa visibilidade de processos ficam mais suscetíveis à perda de credenciais e à fraude posterior. Como o contexto não informa versões, sistemas operacionais específicos ou domínios, a avaliação deve ser orientada por comportamento e não por bloqueio pontual de indicador.

Para Globe Imposter, a superfície de maior preocupação são endpoints que recebem anexos ou links por e-mail, navegam por páginas expostas a malvertising ou permanecem vulneráveis a cadeias acionadas por exploit kits. Compartilhamentos de rede acessíveis pelo usuário comprometido também exigem atenção operacional, porque a criptografia pode impactar arquivos valiosos quando o processo malicioso possui permissão de escrita. O fato de o ransomware anexar .crypt aos arquivos cifrados facilita a identificação do sintoma, mas a detecção nesse estágio já indica impacto consumado. A contenção ideal precisa ocorrer antes da alteração em massa de arquivos, com bloqueio de execução suspeita, análise de comportamento e limitação de privilégios de escrita.

Em dispositivos móveis, a superfície afetada se concentra em Android com instalação de aplicativos fora de lojas confiáveis, uso de apps repacotados, permissões excessivas e ausência de visibilidade sobre integridade do sistema. Triada, Hiddad e Gooligan não representam apenas incômodo por publicidade ou alteração de navegação: o contexto descreve obtenção de privilégios elevados, incorporação em processos do sistema, acesso a detalhes de segurança do sistema operacional e roubo de tokens de autenticação. Em ambientes corporativos, isso torna relevante a correlação entre MDM, identidade, e-mail e acesso a serviços internos a partir de dispositivos móveis.

A ausência de Hummingbad no top 10 de agosto, depois de presença frequente na primeira metade de 2017 com exceção de julho, também é um dado defensivo. Ela mostra que listas de bloqueio e modelos de risco baseados apenas na família mais comentada do trimestre podem envelhecer rapidamente. A defesa precisa acompanhar mudanças de prevalência sem abandonar famílias conhecidas que continuam operando. Trojans bancários consolidados voltaram a ganhar relevância no mesmo período em que ransomware seguia recebendo atenção ampla, o que exige cobertura simultânea para fraude, criptografia, distribuição web e abuso de dispositivos móveis.

Endpoints usados para acesso bancário ficam expostos quando há malware capaz de observar teclado, modificar páginas ou redirecionar navegação.
Ambientes com e-mail, navegação web e permissões amplas de escrita em arquivos são superfície relevante para Globe Imposter.
Dispositivos Android com apps de lojas de terceiros, root não autorizado ou baixa gestão corporativa concentram risco para Triada, Hiddad e Gooligan.
Sessões que dependem de tokens armazenados no dispositivo exigem revisão quando há suspeita de Gooligan ou malware móvel com acesso privilegiado.

Hunting e telemetria

A caça para trojans bancários deve partir da relação entre navegador, processos locais e eventos de autenticação. Como o comportamento descrito envolve identificação de acesso a sites bancários, keylogging, webinjects e redirecionamento, os sinais mais úteis estão em alterações de conteúdo de página, extensões inesperadas, processos que interagem de forma anômala com o navegador, mudanças em resolução de nomes e acessos a páginas visualmente similares a serviços legítimos. Em proxies e gateways web, a equipe deve priorizar padrões de redirecionamento em sessões bancárias, domínios com aparência de imitação e tráfego iniciado imediatamente após o usuário tentar acessar o banco.

Para Globe Imposter, a telemetria deve focar na transição entre entrega e criptografia. Em e-mail, vale procurar mensagens de spam que antecedem execução suspeita no endpoint. Em navegação, eventos associados a malvertising e exploit kits devem ser correlacionados com criação ou modificação acelerada de arquivos. No host, os sinais mais fortes são renomeação em massa, surgimento de arquivos com extensão .crypt, criação de notas de cobrança, aumento repentino de operações de escrita e processos que percorrem diretórios do perfil do usuário ou compartilhamentos acessíveis. Como não há IoCs específicos no contexto, a abordagem correta é comportamental.

No Android, o hunting precisa combinar inventário de aplicativos, origem de instalação, privilégios e eventos de identidade. Hiddad é associado a aplicativos legítimos repacotados e publicados em loja de terceiros, então a presença de apps com origem não aprovada deve ser tratada como sinal de risco. Triada, por conceder privilégios de superusuário a malware baixado e se incorporar a processos do sistema, exige atenção a dispositivos com root, alterações de integridade e processos persistentes fora do esperado. Gooligan demanda revisão de uso de tokens, endereços de e-mail associados e sessões autenticadas que possam ter sido mantidas a partir de credenciais armazenadas no aparelho.

Eventos de navegador com redirecionamento durante acesso a sites bancários ou alteração inesperada de conteúdo de página.
Processos locais associados a captura de teclado, manipulação de sessão web ou interação incomum com o navegador.
Criação ou renomeação em massa de arquivos com extensão .crypt em endpoints e compartilhamentos.
Sequência de e-mail de spam, navegação por malvertising ou exploit kit seguida de execução e alteração acelerada de arquivos.
Aplicativos Android instalados por loja de terceiros, repacotados ou com privilégios elevados sem justificativa operacional.
Sinais de root, acesso a tokens de autenticação armazenados e sessões móveis anômalas em serviços corporativos.

Mitigação

A resposta deve separar as frentes de risco sem tratá-las como incidentes idênticos. Para trojans bancários, a prioridade é impedir coleta de credenciais e manipulação de sessão. Isso envolve isolar endpoints suspeitos, invalidar credenciais expostas, revisar autenticações recentes, reforçar proteção de navegador e bloquear redirecionamentos fraudulentos. Quando houver suspeita de captura de PIN ou webinject, a troca de senha isolada pode ser insuficiente se o dispositivo continuar comprometido. A sequência defensiva deve remover o malware, confirmar integridade do ambiente de navegação, revogar sessões ativas e revisar transações ou tentativas de login no período de exposição.

Para Globe Imposter, a contenção precisa ocorrer rapidamente ao primeiro sinal de criptografia. O host afetado deve ser retirado da rede para interromper alterações adicionais, mas com preservação de evidências suficientes para análise do vetor inicial. Backups devem ser verificados antes de restauração, com atenção a cópias também acessíveis pelo usuário comprometido. A presença de arquivos .crypt ajuda a delimitar escopo, porém a investigação deve voltar ao ponto de entrada: campanha de spam, malvertising ou exploit kit. Sem essa análise, a restauração pode devolver arquivos, mas deixar o mesmo caminho de infecção disponível para nova execução.

No ambiente móvel, a mitigação passa por controle de origem de aplicativos, gestão de permissões e resposta de identidade. Dispositivos Android com suspeita de Triada, Hiddad ou Gooligan devem ser avaliados quanto a root, instalação fora de lojas aprovadas, apps repacotados e uso indevido de tokens. Contas associadas a aparelhos comprometidos exigem revogação de sessões, rotação de credenciais quando aplicável e validação de autenticações recentes. Para ambientes corporativos, políticas de MDM, bloqueio de lojas não confiáveis, inventário de apps e exigência de conformidade do dispositivo reduzem a probabilidade de que malware móvel tenha acesso a dados e serviços internos.

A mudança de prevalência entre famílias também exige ajuste contínuo de controles. O desaparecimento de Hummingbad do top 10 em agosto, a subida de Triada no recorte móvel e a presença simultânea de Zeus, Ramnit, Trickbot e Globe Imposter mostram que a defesa não pode ficar concentrada em uma única narrativa de ameaça. A cobertura mínima precisa combinar filtragem de e-mail, proteção contra malvertising, redução de superfície explorável, detecção comportamental no endpoint, monitoramento de navegação, controle de aplicativos móveis e resposta de identidade. A meta operacional é reduzir o tempo entre a entrega, a execução e a contenção, antes que credenciais sejam coletadas ou arquivos sejam criptografados.

Isolar endpoints com sinais de trojan bancário antes de redefinir credenciais usadas em sessões possivelmente interceptadas.
Revisar logs de autenticação bancária e corporativa após detecção de keylogging, webinject ou redirecionamento suspeito.
Bloquear campanhas de spam, páginas de malvertising e cadeias de exploit kit associadas ao início da execução.
Conter hosts com arquivos .crypt, preservar evidências e validar backups antes de restaurar dados.
Limitar permissões de escrita em compartilhamentos para reduzir o alcance de criptografia por ransomware.
Bloquear instalação de aplicativos Android por lojas de terceiros em dispositivos corporativos gerenciados.
Revogar sessões e tokens vinculados a dispositivos móveis com root não autorizado ou suspeita de malware.

Trojans bancários e ransomware dominaram o cenário de malware em agosto

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Trojans bancários e ransomware dominaram o cenário de malware em agosto

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato