Esta semana, o Laboratório de Pesquisa da ESET América Latina recebeu um caso de phishing envolvendo vários bancos, cartões de crédito e até mesmo informações de pessoas físicas e jurídicas. O ataque é realizado quando o usuário faz o download de um programa malicioso que redireciona a vítima para sites falsos, todos do Brasil e em português.
Antes de roubar informações, os cibercriminosos devem encontrar uma maneira de espalhar o seu ataque. Afinal, se a ameaça não atinge nenhum usuário, é como se ele não tivesse existido. Neste sentido, é muito comum ver em ataques de phishing que o principal meio de propagação é pelo uso de e-mails: neles há um link que, quando clicado, leva o usuário para um site falso que é uma cópia idêntica de um site original. No entanto, neste caso particular, o link envia ao usuário a uma aplicação maliciosa.
Observa-se que o arquivo baixado tem um ícone de uma pasta, mas ele diz “Executar para exibir”, o que é contraditório, porque, se fosse uma pasta, não seria executável.
Mas, na realidade, esse arquivo é executável e usa a opção do Windows “ocultar extensão de arquivo conhecido” que é ativado por padrão automaticamente. Quando executado, ele desencadeia uma série de ações que alteram as configurações de proxy do sistema. Logo em seguida, ao acessar a configuração, ele mudou “magicamente”.
Após a execução do malware, a configuração é feita automaticamente por um script armazenado em um arquivo no computador. Este arquivo contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais. Por exemplo : para ” * nome_banco * ” utilização ” dominio_proxy “. Portanto, cada vez que o usuário entra em uma URL em seu navegador para coincidir com os critérios definidos, o pedido é enviado para o proxy. Assim, se o usuário digitar um endereço que contém ” nome_banco ” em algum lugar , a aplicação irá passar pelo proxy. A partir da observação dessas expressões utilizadas, pôde-se notar que os criminosos pretendem bancos, provedores de cartão de crédito e serviços de informação e veículo pessoal. Quando o usuário tentar visitar um desses sites, o proxy vai intervir no caminho, encaminhando para uma versão falsa do site:
Primeiro é realizado um pedido para o nome de domínio DNS pelo nome de domínio do proxy, e não do banco, onde o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. Descobrimos a existências de um intermediário de manipulação de solicitações de usuários.
Em ataques de phishing o site falso se parece exatamente com o legítimo, mas, neste caso, parece que a versão do site do banco que os cibercriminoso copiou, é antigo. O site que é obtido na máquina do usuário infectado se parece com essa:
Enquanto ao acessar o site oficial do banco em uma máquina não infectada, se obtém o seguinte:
Note que, no caso de um usuário infectado, a URL introduzida na barra de endereço está correta, mas a página exibida no navegador não. Em muitos ataques de phishing, o mais comum é que a URL acessada não é correta, o que pode ser visto na barra de endereços, mas, neste caso, o usuário não pode fazer uso desta observação para evitar o ataque.
A detecção para esta ameaça foi adicionada ao banco de dados de assinaturas na última terça-feira (05), sob o nome de Win32/ProxyChanger.LV. Os códigos maliciosos da família ProxyChanger prevalecem no Brasil muito mais que em qualquer outro lugar do mundo. Assim, por meio dos dados do mês passado, pode-se notar como o Brasil é o país mais infectado.
Em resumo, este código malicioso ataca os usuários brasileiros e pretende roubar informações pessoais para acessar sistemas bancários ou bancos de dados de informações das pessoas. Tudo descrito até agora, poderia não ter acontecido se o usuário utilizasse uma solução de segurança em seu computador. Neste caso, no momento das tentativas de baixar a ameaça, seria bloqueado e eliminado pelo produto, afirma Matías Porolli, Especialista de Awareness & Research
# # #
Sobre a ESET
Fundada em 1992, a ESET é uma fornecedora global de soluções de segurança que provê proteção de última geração contra ameaças virtuais. A empresa está sediada na cidade de Bratislava (Eslováquia), com centros de distribuição regionais em San Diego (Estados Unidos), Buenos Aires (Argentina) e Singapura, e com escritórios em São Paulo (Brasil), Cidade do México (México), Praga (República Chega) e Jena (Alemanha). A ESET conta ainda com Centros de Pesquisa em nove países e uma ampla rede de parceiros em mais de 180 localidades.
Desde 2004, a ESET opera na América Latina, a partir de Buenos Aires, onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local de forma rápida e eficiente, a partir de um Laboratório de Pesquisa focado na investigação e descoberta proativa de várias ameaças virtuais.
Além de seu produto mais conhecido, o ESET NOD32 Antivírus, desde 2007, a ESET oferece o ESET Smart Security, uma solução unificada que utiliza a multipremiada proteção proativa. As soluções ESET oferecem aos clientes corporativos o maior retorno sobre investimento (ROI) da indústria, ao garantir uma alta taxa de produtividade, velocidade de exploração e um uso mínimo de recursos.