Panda Is One Hungry Bear! A Heavyweight Banking Trojan Rolls Into Brazil

O Panda é um urso faminto! Um poderoso cavalo de Troia do setor financeiro chegou ao Brasil

A equipe de Pesquisa IBM X-Force observou que uma variante relativamente nova do cavalo de troia Zeus, conhecida como “Panda”/“Panda Banker”, que começou a atacar bancos na Europa e na América do Norte no início deste ano, agora se espalhou no Brasil. De acordo com a IBM X-Force Research, neste momento o Panda tem como alvo 10 bancos nacionais e diversas plataformas de pagamento, justamente quando o país se prepara para hospedar um evento esportivo global.

Malícia comercializada

Como seu nome sugere, o Zeus Panda é uma nova iteração do cavalo de Troia Zeus v2 desenvolvido com base no mesmo código-fonte que vazou em 2011 e que evidentemente continua a permitir a distribuição de mais cavalos de Troia comerciais no mundo todo.

A IBM X-Force Research acredita que o Zeus Panda está sendo distribuído por meio de placas clandestinas na web pelo desenvolvedor que o criou, sendo vendido como pacotes de “crime cibernético como serviço” a outros criminosos cibernéticos.

O Panda chega ao Brasil

A IBM X-Force Research começou a detectar variantes do Zeus Panda desde o primeiro trimestre de 2016. Primeiro, botnets que espalham este malware para atacar usuários tiveram como alvo os bancos na Europa e na América do Norte, com foco no Reino Unido, na Alemanha, na Holanda, na Polônia, no Canadá, nos EUA e em outros países. Embora as configurações do Panda sejam direcionadas a serviços financeiros pessoais on-line, elas são muito diversificadas e também se direcionam a pagamentos on-line, cartões de crédito pré-pagos, programas de fidelidade de cias aéreas e contas de apostas on-line, entre muitos outros.

O Panda é realmente um urso faminto. O malware continua a espalhar-se para novas geografias e agora, está sendo direcionado a usuários no Brasil. Com sua primeira aparição no Brasil em julho de 2016, a variante do Panda relacionada provavelmente está vinculada a uma facção de crime cibernético profissional que opera no país. A variante traz uma nova configuração focada no Brasil, definida para roubar credenciais de usuários dos dez maiores bancos no país e também de plataformas de troca de Bitcoin, serviços de cartão de pagamento e provedores de pagamentos on-line, entre outros, de acordo com as descobertas da X-Force.

O forte apetite do Panda por Grub local

O arquivo de configuração brasileiro do Zeus Panda apresenta um notável enfoque local. Além de incluir as URLs dos principais bancos do país, os operadores do Panda também têm interesse em infectar usuários que acessam serviços de entrega para uma rede de supermercados brasileira, websites de aplicação de lei local, fornecedores de hardware de segurança de rede local, pagamentos de Boleto e um programa de pontos de fidelidade local específico para o comércio brasileiro. Outros alvos incluem logins de cliente em uma empresa que oferece serviços de gerenciamento de caixa eletrônico e tecnologia de acesso físico seguro para bancos.

Quem está por trás desta nova botnet? A atribuição permanece enganosa. No entanto, pelos fluxos de ataque analisados pela X-Force Research, fica evidente que a gangue do Panda no Brasil tem grande conhecimento na operação de cavalos de Troia financeiros deste nível. Em comparação com outras botnets do Zeus Panda e com a maioria das configurações de cavalos de Troia em geral, essa iteração brasileira sugere o envolvimento de um grupo de crime cibernético profissional que está pelo menos parcialmente localizado no Brasil. Uma dica que aponta para a possível origem dos operadores do Panda é a URL de um serviço on-line com base na Rússia que ajuda os usuários com transferências de dinheiro instantâneas, pagamentos, acréscimos e saídas via plataforma de pagamento on-line, pagamentos por meio de operadoras móveis, entre outros serviços.

Para saber mais sobre o cenário de ameaças no Brasil, leia o relatório completo da IBM X-Force

Ensinando velhos truques a um novo Panda

Há algo de especial sobre o Zeus Panda desta vez? O malware é baseado em um código existente e realiza os mesmos métodos de fraude on-line que os pesquisadores da X-Force estão observando em outros cavalos de Troia financeiros. O Panda rouba as credenciais de login instantaneamente, é capaz de injetar código malicioso em sessões da web em andamento para enganar usuários com engenharia social e seus operadores têm amplo conhecimento no uso de painéis de transação automatizados (ATS).

De acordo com as tentativas de ataques detectadas pelas soluções antifraude do IBM Security, a metodologia de fraude preferencial dos operadores do Panda é assumir o controle da conta, em que as credenciais da vítima são roubadas e usadas pelo criminoso para iniciar uma transação usando outro dispositivo. A vítima é mantida on-line por janelas pop-up enganadoras que exigem a senha única do usuário e permitem que o criminoso realize uma transação fraudulenta em tempo real.

O vetor de infecção do Zeus Panda ocorre por meio de documentos do Word infectados com macros que ativam a implementação do malware nos computadores das vítimas. Tem sido observado que sua distribuição ocorre por meio de kits de exploração populares, como Angler e Neutrino, e que seus alvos são endereços de e-mail corporativos com mensagens personalizadas para atrair as vítimas de uma forma mais seletiva do que o spam indiscriminado.

Observando em detalhes, este cavalo de Troia sofreu algumas modificações, principalmente com relação a seus esquemas de criptografia e comunicações, que recentemente foram relatados em detalhes.

Zeus por todas as partes

De uma perspectiva global, as variações do Zeus ainda são um dos maiores problemas de malware que afetam o setor financeiro. Analisando os últimos cinco anos, os cavalos de Troia financeiros baseados em Zeus continuam a manter uma das principais classificações no cenário global de malware, com base nos volumes de ataques que eles facilitam.

A Figura 1 lista os principais malwares financeiros no mundo, no primeiro semestre de 2016. Em terceiro lugar, a linha de variações do Zeus, que corresponde a 15 por cento dos ataques no mundo todo, inclui as variantes Zeus VM, Citadel e Panda, além de implementações genéricas do Zeus v2, operadas por pequenas facções de crime cibernético em diferentes partes do mundo.

figure 1

Figura 1: Principais malwares financeiros por volume de ataque

Quais são os próximos passos do Panda?

A chegada do Panda no Brasil é um acontecimento bastante notável no país. O cenário do crime cibernético no Brasil é dominado por códigos relativamente simplistas, criados para cenários de fraude específicos como: Fraude de boleto, fraude de acesso remoto e malware usado para phishing.

O Zeus Panda pode não ser o primeiro cavalo de Troia financeiro modular a operar no Brasil, mas é definitivamente um grande salto a partir do malcode malicioso baseado em Delphi que é tão comum no país. Essa migração de uma variante nova e comercial do Zeus para o Brasil também ressalta a crescente colaboração entre os criminosos cibernéticos com base no Brasil e os fornecedores de crime cibernético de outros países e de comunidades clandestinas, uma tendência que tem ganhado proporção no Brasil desde o início deste ano.

Julgando pelas novas campanhas recentes observadas pela X-Force Research, o Zeus Panda parece ser um projeto ativo e em desenvolvimento que está sendo comercializado para criminosos cibernéticos em fóruns da web obscura. Com isso, espera-se que apareçam mais variações deste malware e novas botnets nos próximos meses, provavelmente direcionadas a países diferentes, além daqueles que já aparecem nas configurações atuais.

Nos últimos anos, os desenvolvedores de malware não tinham a intenção de vender cavalos de Troia financeiros clandestinamente por medo de serem descobertos pela lei. O fornecedor do Panda pode ou não continuar a vender o malware, correndo o risco de ter o mesmo destino que outros criadores de malware tiveram recentemente.

Minimizando os ataques do Zeus Panda

A IBM Security tem estudado o malware financeiro Zeus Panda e seus vários esquemas de ataque e pode ajudar os bancos e as organizações alvo a conhecerem melhor essa ameaça de alto risco. Para impedir ameaças como o Panda Banker, os bancos e os provedores de serviço podem usar soluções de detecção de malware adaptáveis e proteger os endpoints dos clientes com uma inteligência contra malware que forneça insights em tempo real sobre as técnicas e os recursos de fraudes, desenvolvida para lidar com a implacável evolução do cenário de ameaças.

Os usuários que buscam impedir as infecções por malware em seus endpoints sempre devem manter o sistema operacional atualizado, atualizar os programas usados com frequência e excluir aqueles que não usam mais. A limpeza da navegação para prevenção de infeção por cavalo de Troia inclui desativar anúncios e evitar sites suscetíveis geralmente usados como hubs de infecção, como conteúdo adulto, torrents e jogos gratuitos, entre outros. Além disso, como o Panda Banker e outros malwares financeiros semelhantes geralmente são entregues como um anexo de e-mail, é extremamente importante nunca clicar em links ou em anexos de e-mail não solicitado.

Amostra MD5

e9dd9705409df3739183fb16583686dd
541a13676ca56ca69459326de5701e9c
Nomes alternativos de AV: Gen:Variant.Graftor.296387

A IBM X-Force Research atualizará as informações e os IOCs sobre o Panda Banker por meio da plataforma X-Force Exchange. Participe da XFE hoje mesmo para ficar atualizado sobre essa ameaça e outras descobertas de nossos laboratórios contra o crime cibernético.

Para saber mais sobre o cenário de ameaças no Brasil, leia o relatório completo da IBM X-Force

IBM X-Force Research observed that a relatively new Zeus Trojan variant known as Panda, or Panda Banker, that started targeting banks in Europe and North America early this year has now spread to Brazil. According to IBM X-Force Research, Panda now targets 10 local bank brands and multiple payment platforms right as Brazil prepares to host a global sporting event.

Commercialized Malice

As its name suggests, Zeus Panda is yet another Zeus v2 Trojan iteration built upon the same source code leaked in 2011 — one that evidently keeps enabling the delivery of more commercial banking Trojans into the world.

IBM X-Force Research believes that Zeus Panda is being peddled via Dark Web underground boards by the developer who put it together. It is sold in cybercrime-as-a-service packages to other cybercriminals.

Panda Arrives in Brazil

IBM X-Force Research has been detecting Zeus Panda variants since Q1 2016. At first, botnets spreading and attacking users with this malware primarily targeted banks in Europe and North America, focusing on the U.K., Germany, the Netherlands, Poland, Canada, the U.S. and others. While Panda configurations focus on targeting personal online banking services, they are rather diverse. Other targets include online payments, prepaid cards, airline loyalty programs and online betting accounts, to name a few.

Panda is clearly one hungry bear. The malware continues to spread to new geographies and is now targeting users in Brazil. First appearing in Brazil in July 2016, the related Panda variant likely has links to a locally operated, professional cybercrime faction. The variants fetched a new Brazil-focused configuration, which was set up to steal credentials from users of 10 major bank brands in the country, as well as those of bitcoin exchange platforms, payment card services and online payments providers, among others, per X-Force findings.

Panda’s Big Appetite for Local Grub

Zeus Panda’s Brazilian configuration file has a notable local hue. Aside from including the URLs of major banks in the country, Panda’s operators are also interested in infecting users who access delivery services for a Brazilian supermarket chain, local law enforcement websites, local network security hardware vendors, Boleto payments and a loyalty program specific to Brazil-based commerce. Other targets include customer logins to a company that offers ATM management services and secure physical access technology for banks.

Who is behind this new botnet? Attribution remains elusive. However, from the attack flows analyzed by X-Force Research, it is evident that Brazil’s Panda gang is very well-versed in the operation of banking Trojans of this grade. In comparison to other Zeus Panda botnets, and most banking Trojan configurations in general, this Brazilian iteration suggests the involvement of a professional cybercrime group that is at least partly located in Brazil. A hint pointing to Panda’s operators’ possible origins is the URL of a Russia-based online service that helps users with instant money transfers, payments, top-up and output via online payments platforms, payments through mobile operators and more.

Teaching a New Panda Old Tricks

Is there anything special about Zeus Panda at this time? The malware is based on existing code and performs the same online fraud methods that X-Force researchers see with other banking Trojans. Panda grabs login credentials on the fly, is capable of injecting malicious code into ongoing web sessions to trick users with social engineering, and its operators are versed in the use of automated transaction panels (ATS).

According to attack attempts detected by IBM Security antifraud solutions, Panda’s operators’ favored fraud methodology is account takeover, in which victim credentials are stolen and then used to initiate a transaction from another device. The victim is held online by deceptive pop-up windows that require one-time passwords and allow the attacker to complete a fraudulent transaction in real time.

Zeus Panda’s top infection vector is poisoned Word documents with macros that activate the malware deployment on victims’ machines. It has been seen to spread via popular exploit kits, such as Angler and Neutrino. It also targets company email addresses with personalized messages designed to lure victims on a more selective basis than indiscriminate spam.

Under the hood, this Trojan does feature a few modifications, mostly relevant to its encryption and communications schemes, which were recently reported in detail.

Zeus All Over

From a global perspective, Zeus variations remain one of the most dominant malware problems to affect the financial sector. Looking back at the past five years, Zeus-based banking Trojans maintained one of the top ranks on the global malware chart based on the attack volumes they facilitate.

Figure 1 lists the top financial malware in the world for the first half of 2016. Ranking third is the Zeus variations line, which accounts for 15 percent of attacks worldwide and includes Zeus VM, Citadel and Panda variants, as well as generic Zeus v2 deployments operated by small cybercrime factions in different parts of the world.

Top Financial Malware per Attack Volume (Source: IBM Trusteer)

Figure 1: Top Financial Malware per Attack Volume (Source: IBM Trusteer)

What’s Next for Panda?

Panda’s move to Brazil is a very interesting occurrence in the country. Brazil’s cybercrime landscape is dominated by relatively simplistic codes designed for specific fraud scenarios, such as Boleto fraud, remote access fraud and malware used for phishing.

Zeus Panda may not be the first ever modular banking Trojan to operate in Brazil, but it is definitely a major step up from the malicious Delphi-based malcode that’s so typical in the country. This migration of a new and commercial Zeus variant into Brazil also underscores the growing collaboration between Brazil-based cybercriminals and cybercrime vendors from other countries and underground communities — a trend that has been picking up speed in Brazil since the beginning of this year.

Judging by recent emerging campaigns observed by X-Force Research, Zeus Panda appears to be an active and evolving project that is being commercialized to cybercriminals through Dark Web forums. As such, we expect to see more variations of this malware and new botnets appearing in the coming months, likely targeting different countries beyond those appearing in current configurations.

In the last few years, malware developers have been disinclined to sell banking Trojans in the underground for fear of being discovered by law enforcement. Panda’s vendor may or may not continue to sell the malware at the risk of encountering the same fate that befell other malware authors in the recent past.

Mitigating Zeus Panda Attacks

IBM Security has studied the Zeus Panda banking malware and its various attack schemes and can help banks and targeted organizations learn more about this high-risk threat. To help stop threats like Panda Banker, banks and service providers can use adaptive malware detection solutions and protect customer endpoints with malware intelligence that provides real-time insight into fraudster techniques and capabilities, designed to address the relentless evolution of the threat landscape.

Users looking to prevent malware infections on their endpoints must keep their operating system up to date at all times, update frequently used programs and delete those they no longer use. Browsing hygiene for the prevention of Trojan infection includes disabling ads and avoiding susceptible sites typically used as infection hubs, sites such as adult content, torrents and free gaming, to name a few. Also, since Panda Banker and similar banking malware is usually delivered as an email attachments, never click on links or attachments in unsolicited email.

Sample MD5

Sample MD5 hashes for the Panda Trojan are:

  • e9dd9705409df3739183fb16583686dd; and
  • 541a13676ca56ca69459326de5701e9c.

AV aliases include Gen:Variant.Graftor.296387, according to VirusTotal.

IBM X-Force Research will be updating information and IOCs on Panda Banker via the X-Force Exchange platform. Join XFE today to keep up to date regarding this threat and other findings from our cybercrime labs.

Fraud protection doesn’t have to be an uphill battle

Share this Article:
Limor Kessem

Executive Security Advisor, IBM

Limor Kessem is one of the top cyber intelligence experts at IBM Security. She is a seasoned security advocate, public speaker, and a regular blogger on the cutting-edge IBM Security Intelligence blog. Limor comes to IBM from organizations like RSA Security, where she spent 5 years as part of the RSA research labs and drove the FraudAction blog on RSA's Speaking of Security. She also served as the Marketing Director of Big Data analytics startup ThetaRay, where she created the company's cybersecurity thought leadership. Limor is considered an authority on emerging cybercrime threats. She participated as a highly appreciated speaker on live InfraGard New York webcasts (an FBI collaboration), spoke in RSA events worldwide, conducts live webinars on all things fraud and cybercrime, and writes a large variety of threat intelligence  publications. With her unique position at the intersection of multiple research teams at IBM, and her fingers on the pulse of current day threats, Limor covers the full spectrum of trends affecting consumers, corporations, and the industry as a whole. On the social side, Limor tweets security items as @iCyberFighter and is an avid Brazilian Jiu Jitsu fighter.