– Esta semana, o Laboratório de Pesquisa da ESET América Latina recebeu um caso de phishing envolvendo vários bancos, cartões de crédito e até mesmo informações de pessoas físicas e jurídicas. O ataque é realizado quando o usuário faz o download de um programa malicioso que redireciona a vítima para sites falsos, todos do Brasil e em português.

Antes de roubar informações, os cibercriminosos devem encontrar uma maneira de espalhar o seu ataque. Afinal, se a ameaça não atinge nenhum usuário, é como se ele não tivesse existido. Neste sentido, é muito comum ver em ataques de phishing que o principal meio de propagação é pelo uso de e-mails: neles há um link que, quando clicado, leva o usuário para um site falso que é uma cópia idêntica de um site original. No entanto, neste caso particular, o link envia ao usuário a uma aplicação maliciosa. Observa-se que o arquivo baixado tem um ícone de uma pasta, mas ele diz “Executar para exibir”, o que é contraditório, porque, se fosse uma pasta, não seria executável.

Mas, na realidade, esse arquivo é executável e usa a opção do Windows “ocultar extensão de arquivo conhecido” que é ativado por padrão automaticamente. Quando executado, ele desencadeia uma série de ações que alteram as configurações de proxy do sistema. Logo em seguida, ao acessar a configuração, ele mudou “magicamente”.

 01

 

Após a execução do malware, a configuração é feita automaticamente por um script armazenado em um arquivo no computador. Este arquivo contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais. Por exemplo : para ” * nome_banco * ” utilização ” dominio_proxy “. Portanto, cada vez que o usuário entra em uma URL em seu navegador para coincidir com os critérios definidos, o pedido é enviado para o proxy. Assim, se o usuário digitar um endereço que contém ” nome_banco ” em algum lugar , a aplicação irá passar pelo proxy. A partir da observação dessas expressões utilizadas, pôde-se notar que os criminosos pretendem bancos, provedores de cartão de crédito e serviços de informação e veículo pessoal. Quando o usuário tentar visitar um desses sites, o proxy vai intervir no caminho, encaminhando para uma versão falsa do site:

 02

Primeiro é realizado um pedido para o nome de domínio DNS pelo nome de domínio do proxy, e não do banco, onde o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. Descobrimos a existências de um intermediário de manipulação de solicitações de usuários.

Em ataques de phishing o site falso se parece exatamente com o legítimo, mas, neste caso, parece que a versão do site do banco que os cibercriminoso copiou, é antigo. O site que é obtido na máquina do usuário infectado se parece com essa:

03

Enquanto ao acessar o site oficial do banco em uma máquina não infectada, se obtém o seguinte:

 04

Note que, no caso de um usuário infectado, a URL introduzida na barra de endereço está correta, mas a página exibida no navegador não. Em muitos ataques de phishing, o mais comum é que a URL acessada não é correta, o que pode ser visto na barra de endereços, mas, neste caso, o usuário não pode fazer uso desta observação para evitar o ataque.

A detecção para esta ameaça foi adicionada ao banco de dados de assinaturas na última terça-feira (05), sob o nome de Win32/ProxyChanger.LV. Os códigos maliciosos da família ProxyChanger prevalecem no Brasil muito mais que em qualquer outro lugar do mundo. Assim, por meio dos dados do mês passado, pode-se notar como o Brasil é o país mais infectado.

Em resumo, este código malicioso ataca os usuários brasileiros e pretende roubar informações pessoais para acessar sistemas bancários ou bancos de dados de informações das pessoas. Tudo descrito até agora, poderia não ter acontecido se o usuário utilizasse uma solução de segurança em seu computador. Neste caso, no momento das tentativas de baixar a ameaça, seria bloqueado e eliminado pelo produto, afirma Matías Porolli, Especialista de Awareness & Research

2 COMENTÁRIOS

  1. Hijacking: É o sequestro de uma sessão, geralmente TCP/IP. O sequestro é uma forma de obter o controle de uma conexão iniciada por um usuário legítimo. Ao interceptar essa conexão o atacante pode tomar o lugar do usuário legítimo, pois essa conexão já passou pelo sistema de autenticação.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.