Tempo para Leitura: 3 minutos

O Spy Banker é um malware responsável por roubar senhas de usuários de Internet Banking, e neste caso específico, além de roubar acessos bancários, também registra senhas de FTPs e de contas de e-mails.

A propagação desde malware se dá por meio de ações de phishing e-mail (e-mails com links para download da ameaça), mensagens que utilizam descrições bem atrativas para enganar o usuário e induzi-lo a clicar no link malicioso, muitas vezes com ofertas ou alertas de segurança falsos.

Um usuário infectado pode servir de ponte para novas infecções. Por exemplo, se o atacante consegue acesso ao e-mail de um usuário ou de algum endereço FTP, ele o utiliza para disparar o malware a outros usuários de internet, aumentando a propagação da ameaça.
Com acesso ao FTP, o atacante pode fazer upload do malware no ambiente interno da empresa, hospedando a ameaça digital em questão no local, que passa a ser distribuída à rede de computadores conectada ao servidor.

O passo a passo da infecção

A execução do arquivo malicioso Spy Banker gera um processo que realiza o download de outro malware no computador do usuário, este mais robusto e capaz de capturar informações de hardware e e-mails, iniciando a replicação da ameaça.

O primeiro malware tem tamanho menor que o segundo para que seja baixado para a máquina do usuário de forma mais rápida, aumentando as taxas de sucesso de infecção. Este malware depois de instalado baixa um segundo malware de tamanho maior, com recursos mais sofisticados.

O download do segundo malware, replicador da ameaça, é realizado em background, sem que o usuário perceba a ação e, mesmo que o processo seja interrompido por algum problema de conexão, por exemplo, o primeiro malware (de tamanho reduzido), sempre tentará baixá-lo novamente, até que tenha sucesso.

O segundo malware, mais robusto, é o responsável por capturar informações de e-mail e SMTP, com intenção de propagar o malware espião. Ele também acessa informações de hardware da máquina para que possa cloná-la. A clonagem é necessária para que os criminosos possam realizar as transações financeiras bancárias de posse dos dados de login e senha do usuário infectado, já que muitos bancos exigem o cadastramento dos computadores que podem acessar a conta bancária.

Como age o Spy Banker

Depois de infectar a máquina ou PC com o Spy Banker, tem início as tentativas de captura das informações de contas do usuário, como senha e login. Neste caso, o malware age assim:
1° Malware
Ele é o responsável por verificar em qual browser o usuário está acessando o site do banco.
1. Ao tentar acessar a conta bancária via Chrome ou Firefox, é exibida a mensagem abaixo ao usuário infectado:

2. Caso o usuário marque ‘OK’, o browser é fechado e o site do banco digitado é aberto no Internet Explorer.
O mesmo acontece se o usuário fechar a caixa de diálogo ou apertar a tecla ‘ESC’ do computador.
3. A partir desse ponto toda a operação bancaria realizada pelo usuário está sendo monitorada.
4. O criminoso tem acesso ao login, senha e chave de segurança bancários por meio de captura das informações fornecidas e screenshots.

5. O usuário não consegue minimizar a janela do browser, ela fica “pulando” na tela a todo momento.
6. O usuário fica vulnerável.
2º malware
Após instalado no computador, o Spy Banker baixa outro malware no PC, que iniciará a replicação da ameaça espião para outras máquinas.
A PSafe monitorou atividade deste Spy Banker e descobriu que os criminosos enviavam as informações de acesso às contas para um servidor malicioso, criando um banco de dados que estaria à disposição do crime.
Ao menos 14 empresas brasileiras foram infectadas com o malware. Todas já foram avisadas pela PSafe para trocarem suas informações de acesso, como login e senhas, além de recomendações para fazerem uma varredura por vírus e ameaças digitais nos seus sistemas internos.
Lista de empresas afetadas pelo Spy Banker

Por medidas de segurança e privacidade, a PSafe não divulga o nome destas empresas, apesar de já ter feito contato com todas elas para que ficassem cientes da ameaça e vulnerabilidade dos seus dados. A seguir, uma lista de atuação destas empresas:
1. Grande varejista brasileiro, com atividade no exterior.

2. Importante canal de televisão nacional.
3. 29 endereços de FTP.
4. 1.952 contas de e-mail.

O PSafe Total é capaz de reconhecer, bloquear e eliminar a ameaça Spy Banker. Por isso, recomenda a todos os usuários de internet no País fazerem a verificação por vírus e malwares ao menos uma vez por semana em suas máquinas e dispositivos eletrônicos.
Com essas informações, conseguimos identificar quais os alvos do malware, entre eles usuários de muitos bancos que atuam no Brasil e navegadores de internet, como:

1. Caixa Econômica Federal
2. Banco Bradesco
3. Banco do Brasil
4. Banco Itaú
5. Banco Santander
6. Sicredi
7. Mozilla Firefox
8. Internet Explorer
9. Etc.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.