# New Financial Malware Targets Brazilian Banking Customers **[securityintelligence.com/camubot-new-financial-malware-targets-brazilian-banking-customers/](https://securityintelligence.com/camubot-new-financial-malware-targets-brazilian-banking-customers/)** [Home /](https://securityintelligence.com/) [Banking & Finance](https://securityintelligence.com/category/topics/banking-financial-services-industry/) CamuBot: New Financial Malware Targets Brazilian Banking Customers [Banking & Finance September 4, 2018](https://securityintelligence.com/category/topics/banking-financial-services-industry/) By [Limor Kessem co-authored by Maor Wiesen 4 min read](https://securityintelligence.com/author/limor-kessem/) Leia o artigo em Português - Read this article in Portuguese ## Novo malware, denominado CamuBot, visa clientes corporativos dos bancos brasileiros September 4, 2018 ----- esqu sado es do o ce a a sa a u o o a a e que sa os p c pa s ba cos b as e os, po e o de seus c e tes corporativos. O malware foi apelidado de CamuBot uma vez que se camufla como um módulo de segurança exigido pelos bancos. O CamuBot surgiu no Brasil em agosto de 2018, no que pareciam ser ataques direcionados a usuários de bancos comerciais. De acordo com as pesquisas do X-Force, os autores deste malware estão visando empresas e organizações do setor público, usando uma combinação de engenharia social e táticas de malware para driblar a autenticação e os controles de segurança. Ao contrário de outros malwares operados no Brasil, o CamuBot foi definido como um novo código. Muito diferente dos típicos Trojans, o CamuBot não se esconde; pelo contrário, é muito visível, usando logotipos dos bancos e a mesma aparência de um internet banking, por exemplo, para se passar por um aplicativo de segurança. Assim, ganha a confiança da vítima e leva-a a instalá-la sem perceber que está executando um assistente de instalação para um cavalo de Tróia. O CamuBot é mais sofisticado do que os típicos malwares de ataque remoto e táticas de fraude usados no Brasil. Em vez de simples telas falsas e uma ferramenta de acesso remoto, as táticas do CamuBot se assemelham àquelas usadas por malwares fabricados na Europa Oriental, como TrickBot, Dridex ou QakBot, todos focados em bancos comerciais e combinando engenharia social com controle de conta / dispositivo auxiliado por malware. ### Um Telefonema seguido do Phishing O método de fraude do CamuBot é uma mistura de elementos projetados para atrair uma vítima para instalar o malware em seu dispositivo e, em seguida, guiá-la inconscientemente, autorizando uma transação fraudulenta. Para efetivar os ataques, os operadores do CamuBot começam com uma pesquisa básica de empresas que façam negócios com uma determinada instituição financeira. Em seguida, ligam para a pessoa que provavelmente teria as credenciais da conta bancária da empresa. Os invasores se identificam como funcionários do banco e instruem a vítima a entrar em um site com o objetivo de verificar se o módulo de segurança está atualizado. Obviamente, a verificação de validade aparece negativa, então os invasores usam este pretexto para que a vítima instale um "novo" módulo de segurança para continuar usando o internet banking. Os usuários que baixam o módulo são aconselhados a fechar todos os programas em execução e a executar a instalação com um perfil de administrador do Windows. _Figura 1: O CamuBot,_ _disfarçado de aplicativo falso, pede requisitos mínimos antes da instalação Neste ponto, um aplicativo falso com os logotipos do banco_ começa a ser baixado. Por trás da interface, o CamuBot é executado no dispositivo da vítima. O nome do arquivo e a URL a partir da qual é feito o download muda a cada novo ataque. _Figura 2: CamuBot,_ _disfarçado como aplicativo falso, completa a instalação Como parte destas simples etapas da instalação, o CamuBot:_ 1. Grava dois arquivos na pasta {30bfbf8d9f2833f0337133e196b4dc87825dfb7d33a3602d05ee876ecd6f1178}ProgramData{30bfbf8d9f2833f0337133e196b4dc87825dfb7d33 Windows para estabelecer um módulo proxy no dispositivo. O nome do executável não é estático e muda a cada ataque. 2. Adiciona-se às regras do Firewall para parecer confiável. E faz o mesmo com o antivírus: ----- _C_ _do sSyste_ _3_ _ets_ _e e_ _e a add a o edp og a_ _t_ _us_ _Figura 3: CamuBot modifica as configurações do_ _Windows Firewall para parecer confiável Para comunicar-se através da máquina infectada, o CamuBot estabelece um proxy SOCKS_ baseado em SSH. De acordo com a análise da X-Force, a DLL do módulo SSH é uma ferramenta gratuita que foi obtida através do GitHub. A DLL é nomeada: " {30bfbf8d9f2833f0337133e196b4dc87825dfb7d33a3602d05ee876ecd6f1178}TEMP{30bfbf8d9f2833f0337133e196b4dc87825dfb7d33a3602d05ee O módulo proxy é então carregado e estabelece o encaminhamento de porta. Esse recurso geralmente é usado em um túnel bidirecional de portas de aplicativos do dispositivo do cliente para o servidor. No caso do CamuBot, o túnel permite que os invasores direcionem seu próprio tráfego através da máquina infectada e usem o endereço IP da vítima ao acessar a conta bancária comprometida. Uma vez que a instalação é concluída, uma tela pop-up redireciona a vítima para um site de phishing que simula o portal de internet banking. Eles são solicitados a fazer login em sua conta e, assim, inadvertidamente, enviar suas credenciais para o invasor. Nesse momento, se as credenciais forem suficientes para uma invasão de conta, o invasor se desconecta. ### O Camubot consegue driblar a autenticação biométrica? Nos casos em que os operadores do CamuBot invadem um dispositivo de autenticação forte conectado a máquina infectada, o malware pode buscar e instalar um driver para esse dispositivo. A vítima é então solicitada a ativar o compartilhamento remoto. Acreditando que estão falando com um representante do banco, a vítima pode autorizar o acesso, sem saber que, ao compartilhar o acesso ao dispositivo conectado, ele permitirá que o invasor intercepte senhas de uso único geradas para fins de autenticação. _Figura 4: CamuBot solicita à vítima que instale o driver de acesso remoto a um_ _dispositivo USB Com a senha do usuário em mãos, o criminoso pode tentar uma transação fraudulenta, abrindo caminho através de seu_ endereço IP, para fazer a sessão parecer legítima pelo lado do banco. Os pesquisadores do X-Force reforçam que uma possibilidade preocupante foi de que o driver de dispositivo implantado pelo CamuBot fosse similar a outros dispositivos fornecidos pelo mesmo fornecedor, alguns dos quais são usados para autenticação biométrica. Se o mesmo compartilhamento remoto for autorizado por um usuário, eles podem, sem saber, comprometer sua autenticação biométrica. ### Distribuição A distribuição do CamuBot é personalizada. Como os operadores de malware têm como alvo empresas no Brasil, é possível que eles coletem informações a partir de listas de telefones locais, mecanismos de pesquisa, ou redes sociais. Todo eso para chegar a pessoas que possuem uma empresa, ou que tenham as credenciais da conta bancária da empresa. ### Alvos Atualmente, o CamuBot tem como alvo os correntistas de empresas no Brasil. Os pesquisadores do X-Force não visualizaram o CamuBot [sendo usado em outros países, porém isso pode mudar com o tempo. Mantenha-se atualizado sobre o CamuBot no X-Force Exchange.](https://exchange.xforce.ibmcloud.com/collection/CamuBot-45c532fdf387539bfe22e1f0c33d184a) ### Algumas amostras de Camubot que investigamos: 9eab7ea297ea71057691c09b485d646f [a000fe90363517e0fc4c8d02f7830825](https://www.virustotal.com/#/file/37ca2e37e1dc26d6b66ba041ed653dc8ee43e1db71a705df4546449dd7591479/detection) 684AAA16C9B54E4645C8B5778DB7562F CD27C9FC659B50776E3BD208A42F1E3F 7D50411C9621F1AD00996C8CE0F1AC20 Close Translation ----- o ce esea c e s a a y ed e a c a a a e t at ta gets ajo a a ba s t oug t e bus ess ba g custo e s e malware was dubbed CamuBot because it attempts to camouflage itself as a security module required by the banks it targets. CamuBot emerged in Brazil in August 2018 in what appeared to be targeted attacks against business banking users. According to X-Force’s findings, the malware’s operators are actively using it to target companies and public sector organizations, mixing social engineering and malware tactics to bypass strong authentication and security controls. ## A Brazilian Standout Unlike other malware operated in Brazil, CamuBot is a defined new code. Very different from typical banking Trojans, CamuBot does not hide its deployment. On the contrary, it is very visible, using bank logos and overall brand imaging to appear like a security application. It thus gains victims’ trust and leads them to install it without realizing they are running an installation wizard for a Trojan horse. [CamuBot is more sophisticated than the remote-overlay type malware commonly used in fraud schemes targeting users in Brazil. Instead of](https://securityintelligence.com/brazilian-malware-client-maximus-maximizing-the-mayhem/) simplistic fake screens and a remote access tool, CamuBot tactics resemble those used by Eastern European-made malware such as [TrickBot,](https://securityintelligence.com/trickbots-cryptocurrency-hunger-tricking-the-bitcoin-out-of-wallets/) [Dridex and](https://securityintelligence.com/dridexs-cold-war-enter-atombombing/) [QakBot, each of which focuses on business banking and blends social engineering with malware-assisted account and](https://securityintelligence.com/qakbot-banking-trojan-causes-massive-active-directory-lockouts/) device takeover. [Read the white paper: How Digital banking Is Transforming Fraud Detection](https://www.ibm.com/marketing/iwm/dre/signup?source=urx-18586&S_PKG=ov60471) ## Hello, It’s a Phish Calling CamuBot’s fraud method is a mix of elements that are designed to lure potential victims into installing the malware on their device and then walk them through unknowingly authorizing a fraudulent transaction. To carry out their attacks, CamuBot operators begin with some basic reconnaissance to find businesses that bank with a certain financial institution. They then initiate a phone call to the person who would likely have the business’s bank account credentials. The attackers identify themselves as bank employees and instruct the victim to browse to a certain URL to check whether his or her security module is up to date. Of course, the validity check comes up negative, and the attackers trick the victim to install a “new” security module for his or her online banking activity. Those lured into downloading the module are advised to close all running programs and run the installation with a Windows administrator profile. _Figure 1: CamuBot, disguised as fake app, asks for minimum requirements before installation_ At this point, a fake application that features the bank’s logos starts downloading. Behind the scenes, CamuBot is fetched and executed on the victim’s device. The name of the file and the URL from which it is downloaded change in every attack. ----- _Figure 2: CamuBot, disguised as fake app, completes installation_ As part of its simplistic infection routine, CamuBot writes two files to the %ProgramData% Windows folder to establish a proxy module on the device. The executable’s name is not static and changes in every attack. Then it adds itself to the firewall’s rules to appear trusted. It does the same for the antivirus: _C:\Windows\System32\netsh.exe” firewall add allowedprogram “” Anti-Virus ENABLE_ _Figure 3: CamuBot edits Windows Firewall settings to appears trusted_ To communicate with the infected device, CamuBot establishes a Secure Shell (SSH)-based SOCKS proxy. According to X-Force’s analysis, the SSH module’s dynamic link library (DLL) is a free tool that was obtained via GitHub. The DLL file is named “%TEMP%\Renci.SshNet.dll.” The proxy module is loaded and establishes port forwarding. This feature is generally used in a two-way tunneling of application ports from the client’s device to the server. In CamuBot’s case, the tunnel allows attackers to direct their own traffic through the infected machine and use the victim’s IP address when accessing the compromised bank account. After installation completes, a pop-up screen redirects the victim to a phishing site purporting to be their bank’s online banking portal. The victim is asked to log into his or her account, thereby unknowingly sending the credentials to the attacker. At this point, if the credentials are sufficient for an account takeover, the attacker hangs up. ## Can CamuBot Beat Biometric Authentication? In cases where CamuBot’s operators run into a strong authentication device that’s attached to the endpoint, the malware can fetch and install a driver for that device. The victim is then asked to enable sharing it remotely. Trusting that they are speaking to a bank representative, the victim may authorize the access, not knowing that by sharing access to the connected device, they can allow the attacker to intercept one-time passwords generated for authentication purposes. ----- _Figure 4: CamuBot fetches and installs a driver for a connected device used in strong authentication_ [With the one-time code in hand, the criminals can attempt a fraudulent transaction, tunneling it through their IP address to make the session](https://www.ibm.com/us-en/marketplace/phishing-and-malware-protection) seem legitimate on the bank’s side. According to X-Force researchers, a more concerning possibility was that the device driver deployed by CamuBot was similar to other devices supplied by the same vendor, some of which are used for biometric authentication. If the same remote sharing is authorized by a duped user, [he or she could unknowingly compromise the biometric authentication process.](https://securityintelligence.com/new-ibm-study-consumers-weigh-in-on-biometrics-authentication-and-the-future-of-identity/) ## Distribution and Targets The delivery of CamuBot is personalized. Since the malware’s operators target businesses in Brazil, it is very possible that they gather information from local phone books, search engines or professional social networks to get to people who own a business or would have the business’s bank account credentials. At this time, CamuBot targets business account holders in Brazil. X-Force researchers have not seen CamuBot used in other geographies, but [that may change over time. Keep up to date on CamuBot on X-Force Exchange.](https://exchange.xforce.ibmcloud.com/collection/CamuBot-45c532fdf387539bfe22e1f0c33d184a) ## Some CamuBot Samples Observed 9eab7ea297ea71057691c09b485d646f a000fe90363517e0fc4c8d02f7830825 684AAA16C9B54E4645C8B5778DB7562F CD27C9FC659B50776E3BD208A42F1E3F 7D50411C9621F1AD00996C8CE0F1AC20 [Read the white paper: How Digital banking Is Transforming Fraud Detection](https://www.ibm.com/marketing/iwm/dre/signup?source=urx-18586&S_PKG=ov60471) [Limor Kessem](https://securityintelligence.com/author/limor-kessem/) Executive Security Advisor, IBM Limor Kessem is an Executive Security Advisor at IBM Security. She is a widely sought-after security expert, speaker and author and a strong advocate for wom... ----- -----