(Fonte da imagem: Reprodução/Rede Cidade Digital)

Nesta semana, o Laboratório de Pesquisa da ESET América Latina recebeu um caso de phishing envolvendo vários bancos, cartões de crédito e até mesmo informações de pessoas físicas e jurídicas. O ataque é realizado quando o usuário faz o download de um programa malicioso que redireciona a vítima para sites falsos, todos do Brasil e em português.

Antes de roubar informações, os cibercriminosos devem encontrar uma maneira de espalhar o seu ataque. Afinal, se a ameaça não atinge nenhum usuário, é como se ela não tivesse existido. Nesse sentido, é muito comum ver em ataques de phishing que o principal meio de propagação é o uso de emails: neles há um link que, quando clicado, leva o usuário para um site falso, o qual é uma cópia idêntica de um site original.

Entenda como isso acontece

No entanto, nesse caso particular, o link envia o usuário a uma aplicação maliciosa. O arquivo baixado tem um ícone de uma pasta, mas apresenta a mensagem “Executar para exibir” — o que é contraditório, porque, se ele fosse uma pasta, não seria executável. Entretanto, na realidade esse arquivo é executável mesmo e usa a opção do Windows “ocultar extensão de arquivo conhecido”, que é ativada por padrão automaticamente. 

 Quando executado, o arquivo desencadeia uma série de ações que alteram as configurações de proxy do sistema. Logo em seguida, ao acessar a configuração, você percebe que ela mudou "magicamente".

(Fonte da imagem: Divulgação/ESET)

Após a execução do malware, a configuração é feita automaticamente por um script armazenado em um arquivo no computador. Esse documento contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais. Por exemplo, para " * nome_banco * " é utilizado " dominio_proxy ". Portanto, cada vez que o usuário entra em uma URL em seu navegador para coincidir com os critérios definidos, o pedido é enviado para o proxy.

Assim, se o usuário digitar um endereço que contém " nome_banco " em algum lugar, a aplicação vai passar pelo proxy. A partir da observação dessas expressões utilizadas, pôde-se notar que os criminosos pretendem atingir bancos, provedores de cartão de crédito e serviços de informação e veículo pessoal. Quando a pessoa tentar visitar um desses sites, o proxy vai intervir, encaminhando-o para uma versão falsa do site:

(Fonte da imagem: Divulgação/ESET)

Primeiro é realizado um pedido para o nome de domínio DNS pelo nome de domínio do proxy, e não do banco, no qual o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. Descobrimos assim a existência de um intermediário de manipulação de solicitações de usuários.

Em ataques de phishing o site falso se parece exatamente com o legítimo, mas nesse caso parece que a versão do site do banco que os cibercriminosos copiaram é antiga. O site que é obtido na máquina do usuário infectado se parece com essa:

(Fonte da imagem: Divulgação/ESET)

No entanto, ao acessar o site oficial do banco em uma máquina não infectada, se obtém o seguinte:

(Fonte da imagem: Divulgação/ESET)

 

Note que, no caso de um usuário infectado, a URL introduzida na barra de endereço está correta, mas a página exibida no navegador, não. Em muitos ataques de phishing, o mais comum é que a URL acessada não seja a correta, o que pode ser visto na barra de endereços, mas, nesse caso, o usuário não pode fazer uso desta observação para evitar o ataque.

A detecção para esta ameaça foi adicionada ao banco de dados de assinaturas no dia 05 de novembro, sob o nome de Win32/ProxyChanger.LV. Os códigos maliciosos da família ProxyChanger prevalecem no Brasil muito mais que em qualquer outro lugar do mundo. Assim, por meio dos dados do mês passado, pode-se notar como o Brasil é o país mais infectado.

(Fonte da imagem: Divulgação/ESET)

Em resumo, esse código malicioso ataca os usuários brasileiros e pretende roubar informações pessoais para acessar sistemas bancários ou bancos de dados de informações das pessoas. Tudo o que foi descrito até agora poderia não ter acontecido se o usuário utilizasse uma solução de segurança em seu computador. Nesse caso, no momento das tentativas de baixar a ameaça, ela seria bloqueada e eliminada pelo produto, de acordo com Matías Porolli, especialista de Awareness & Research

Cupons de desconto TecMundo: