Brasil tem nova ameaça de ataque a dados bancários chamada ProxyCharger

(Fonte da imagem: Reprodução/Rede Cidade Digital)

Nesta semana, o Laboratório de Pesquisa da ESET América Latina recebeu um caso de phishing envolvendo vários bancos, cartões de crédito e até mesmo informações de pessoas físicas e jurídicas. O ataque é realizado quando o usuário faz o download de um programa malicioso que redireciona a vítima para sites falsos, todos do Brasil e em português.

Antes de roubar informações, os cibercriminosos devem encontrar uma maneira de espalhar o seu ataque. Afinal, se a ameaça não atinge nenhum usuário, é como se ela não tivesse existido. Nesse sentido, é muito comum ver em ataques de phishing que o principal meio de propagação é o uso de emails: neles há um link que, quando clicado, leva o usuário para um site falso, o qual é uma cópia idêntica de um site original.

Entenda como isso acontece

No entanto, nesse caso particular, o link envia o usuário a uma aplicação maliciosa. O arquivo baixado tem um ícone de uma pasta, mas apresenta a mensagem “Executar para exibir” — o que é contraditório, porque, se ele fosse uma pasta, não seria executável. Entretanto, na realidade esse arquivo é executável mesmo e usa a opção do Windows “ocultar extensão de arquivo conhecido”, que é ativada por padrão automaticamente.

Quando executado, o arquivo desencadeia uma série de ações que alteram as configurações de proxy do sistema. Logo em seguida, ao acessar a configuração, você percebe que ela mudou “magicamente”.

(Fonte da imagem: Divulgação/ESET)

Após a execução do malware, a configuração é feita automaticamente por um script armazenado em um arquivo no computador. Esse documento contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais. Por exemplo, para ” * nome_banco * ” é utilizado ” dominio_proxy “. Portanto, cada vez que o usuário entra em uma URL em seu navegador para coincidir com os critérios definidos, o pedido é enviado para o proxy.

Assim, se o usuário digitar um endereço que contém ” nome_banco ” em algum lugar, a aplicação vai passar pelo proxy. A partir da observação dessas expressões utilizadas, pôde-se notar que os criminosos pretendem atingir bancos, provedores de cartão de crédito e serviços de informação e veículo pessoal. Quando a pessoa tentar visitar um desses sites, o proxy vai intervir, encaminhando-o para uma versão falsa do site:

(Fonte da imagem: Divulgação/ESET)

Primeiro é realizado um pedido para o nome de domínio DNS pelo nome de domínio do proxy, e não do banco, no qual o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. Descobrimos assim a existência de um intermediário de manipulação de solicitações de usuários.

Em ataques de phishing o site falso se parece exatamente com o legítimo, mas nesse caso parece que a versão do site do banco que os cibercriminosos copiaram é antiga. O site que é obtido na máquina do usuário infectado se parece com essa:

(Fonte da imagem: Divulgação/ESET)

No entanto, ao acessar o site oficial do banco em uma máquina não infectada, se obtém o seguinte:

(Fonte da imagem: Divulgação/ESET)

 

Note que, no caso de um usuário infectado, a URL introduzida na barra de endereço está correta, mas a página exibida no navegador, não. Em muitos ataques de phishing, o mais comum é que a URL acessada não seja a correta, o que pode ser visto na barra de endereços, mas, nesse caso, o usuário não pode fazer uso desta observação para evitar o ataque.

A detecção para esta ameaça foi adicionada ao banco de dados de assinaturas no dia 05 de novembro, sob o nome de Win32/ProxyChanger.LV. Os códigos maliciosos da família ProxyChanger prevalecem no Brasil muito mais que em qualquer outro lugar do mundo. Assim, por meio dos dados do mês passado, pode-se notar como o Brasil é o país mais infectado.

(Fonte da imagem: Divulgação/ESET)

Em resumo, esse código malicioso ataca os usuários brasileiros e pretende roubar informações pessoais para acessar sistemas bancários ou bancos de dados de informações das pessoas. Tudo o que foi descrito até agora poderia não ter acontecido se o usuário utilizasse uma solução de segurança em seu computador. Nesse caso, no momento das tentativas de baixar a ameaça, ela seria bloqueada e eliminada pelo produto, de acordo com Matías Porolli, especialista de Awareness & Research.

Quer ter mais segurança em seu equipamento? Acesse: http://www.psdosmicros.com/softwares/33-panda-antivirus-pro-2012.html

32% dos computadores de todo o mundo estão infectados

Segundo relatório da PandaLabs, cerca de 32% dos computadores de todo o mundo estão infectados por malwares. Certamente um número muito alto e que chama atenção.

Segundo o relatório, o número de ameaças online no banco de dados da Panda em 2012 foi de 125 milhões. O número de pragas virtuais criadas a cada dia chega a ultrapassar a casa dos 70 mil sendo que desses, os trojans representando a maioria. O relatório aponta ainda que o grande aumento dessas pragas deve-se principalmente pelo uso de kits automatizados como o Black Hole.

Com relação aos locais com maior número de contaminação, como sempre a China está no topo da lista com 55% dos computadores estão infectados, seguido pela Coreia do Sul com 54% e Taiwan com 42%. O Brasil está na “média”, com 32% dos computadores analisados infectados.

A PandaLabs revelou ainda que os principais alvos dos criminosos são os softwares populares como Java, Adobe Acrobat Reader e Flash. O Java que é instalado em milhões de dispositivos e frequentemente sofre com ataques graças as suas múltiplas falhas de segurança.

Como já era esperado, o estudo apontou também que as redes sociais estão na mira de cibercriminosos pois à partir delas é fácil enganar usuários desavisados. O Skype que agora substituiu o velho MSN/Messenger também é um alvo que deverá ser muito explorado.

Não podemos também deixar de citar o sistema Android do Google que se tornou dominante em smartphones e está sendo usado também por Smart TVs. Certamente passará a ser um dos principais alvos de ataque nos próximos anos.

Quer ter mais segurança em seu equipamento? Acesse: http://www.psdosmicros.com/softwares/33-panda-antivirus-pro-2012.html