Em diversas ocasiões discutimos e analisamos diferentes casos de phishing que têm afetado uma ampla gama de instituições financeiras, companhias aéreas, cartões de crédito e redes sociais. Contudo, o phishing que encontramos dessa vez ainda não se diferencia de outros por seu objetivo ou entidade afetada (um importante banco brasileiro), mas marca uma nova tendência nesse tipo de ataque ao ser geolocalizado, ou seja, somente pode ser acessado a partir de computadores que estejam no Brasil (utilizando um endereço IP desse país) ou um servidor proxy do mesmo país. Qualquer acesso que seja feito a partir de outra parte do mundo é negado e não é exibido o phishing, mas sim uma mensagem de proibição.

Para alcançar esse objetivo, os criminosos virtuais empregam uma tecnologia conhecida como geolocalização, técnica que permite detectar o país de origem da visita para permitir ou negar o acesso, dependendo do critério estabelecido. Nas telas a seguir, podemos ver o que ocorre quando se tenta acessar o phishing a partir do Brasil e, em seguida, a partir de outro país qualquer.

Através da geolocalização, os criminosos são capazes de cumprir dois objetivos que, de outra maneira, seria impossível. Primeiramente, maximizam a possibilidade de obter lucro ao garantir que somente as pessoas pertencentes ao grupo-alvo do ataque (neste caso, usuários brasileiros) possam acessar o site fraudulento. O motivo desta implementação está no fato de usuários de outros países não representarem nenhum tipo de lucro, porque, além de falarem outro idioma, não terão uma conta bancária no Brasil. Além disso, quanto mais pessoas visualizem a fraude, maior é a chance de que o site seja tirado do ar por excesso de consumo de banda do servidor no qual o phishing está alojado, ou porque alguém realiza uma denúncia.

Se a vítima em potencial for brasileira e não tomar os cuidados necessários para a prevenção, como não visitar links suspeitos, nem inserir informações confidenciais ou bancárias, estará acessando um golpe de phishing que, sem considerar a geolocalização, acaba sendo bastante normal com relação a outros. Em primeiro lugar, são solicitados dados como o número da conta e a senha de oito dígitos. Em seguida, uma senha de cartão de seis dígitos e para finalizar, outra de quatro dígitos. Finalmente, se diz à vítima que o processo foi concluído satisfatoriamente e que, a partir desse momento, poderá (ironicamente) utilizar novas funções de segurança.

Para evitar ser vítima desse tipo de ataque, devemos lembrar sempre que nenhuma instituição bancária ou similar solicita informações sensíveis através de meios como e-mail ou redes sociais, não importando o motivo ou a desculpa dada. Por último, mencionar que os cibercriminosos estão buscando, de forma contínua e ativa, novas ideias e estratégias com o objetivo de maximizar a quantidade de vítimas e assim obter maiores ganhos ilícitos. Um comportamento seguro e adequado na Internet permite reverter essa tendência.

André Goujon
Especialista de Awareness & Research

Categories: Alertas, Phishing
1 Comment »

Esta semana recebemos no Laboratório da ESET América Latina uma amostra de um trojan detectado pelo ESET NOD32 Antivirus como BAT/Agent.NLF Trojan. A ameaça se propaga através de um e-mail contendo um suposto vídeo do namorado de uma das integrantes do programa Big Brother Brasil 2012, tentando persuadir os usuários a baixarem um arquivo. Após realizarmos uma análise mais profunda, pudemos observar que o comportamento mudou a respeito das ações efetuadas no golpe:

Como primeiro passo, imediatamente depois de executar a ameaça, é aberta uma janela do navegador, acessando um popular site de vídeos online. Contudo, isso não é mais que uma distração, já que o malware está executando operações em segundo plano, sem que o usuário veja.

Analisando as mudanças que são feitas no sistema, é possível ver que várias entradas de registro foram alteradas, porém o que mais chama a atenção é a mudança nas entradas de registro correspondentes aos diferentes navegadores instalados no sistema operacional. A alteração dessas entradas tem como finalidade, cada vez que o navegador é iniciado, seja baixado um arquivo com extensão TXT a partir de um site remoto, que contém código  oculto para evitar ser detectado, e que permite comparar os endereços URL que o usuário acessa com uma lista armazenada no referente código.

Desta maneira, se o usuário acessa uma URL que se encontra listada no arquivo de texto, é redirecionado a um site de phishing relacionado à URL acessada. Dessa maneira, o trojan não realiza pharming local como fazem muitos outros, mas utiliza um site remoto como proxy para redirecionar o usuário a determinados sites de phishing de acordo com os sites que o usuário acessa dentro da lista contida no arquivo de texto baixado:

Essas operações tem como finalidade o roubo de credenciais de múltiplos serviços através do mesmo malware. Isto inclui serviços de e-mail muito populares, como também o roubo de credenciais de home banking de diferentes entidades bancárias de renome, dentre outros.

Na imagem anterior, podemos ver a inserção de credenciais de acesso a um serviço popular de e-mail (na verdade um site de phishing). Os dados serão roubados e armazenados no servidor malicioso como mostra a imagem a seguir:

Outro ponto que vale a pena destacar é que através desta técnica os cibercriminosos por trás desse código malicioso podem modificar o arquivo de texto baixado e atualizá-lo com novos sites e campanhas para expandir o roubo de credenciais a outros serviços, sem que o usuário seja infectado com algum outro tipo de malware.

Finalmente, aconselhamos ao usuário que conte com uma solução antivírus com capacidade de detecção proativa para poder se proteger contra este tipo de ameaça, assim como também bloquear as URLS pertencentes a servidores maliciosos.

Fernando Catoira
Analista de Segurança

Categories: Análise de malware, Phishing
No Comments »

Na última semana, recebemos em nosso laboratório um e-mail utilizando como tema de engenharia social um suposto acidente que uma criança do Rio de Janeiro teria sofrido ao tentar saltar de uma altura de 30 metros para voar de parapente. Para torna-lo mais convincente, é inserida uma imagem que aparenta ser um vídeo compartilhado por redes sociais e se afirma que o falso arquivo anexo (o malware é baixado através de um link inserido na imagem) foi analisado pela solução antimalware do Hotmail, verificado como livre de ameaças.

Na tela a seguir, vemos o e-mail exibido e a considerável quantidade de endereços de envio no campo “Para”:

Conforme mencionado anteriormente, se o usuário acessar o link inserido no suposto vídeo irá baixar um arquivo malicioso com extensão COM que faz alusão ao portal Youtube ao incluí-lo como parte de seu nome, utilizando assim uma artimanha somada à confusão que pode gerar no usuário quando um arquivo executável “COM” e o domínio genérico de um site “.com”. No primeiro caso, trata-se de arquivos executáveis que costumavam ser utilizados em sistemas operacionais antigos como MS-DOS e que, na atualidade, estão sendo amplamente utilizados para facilitar a propagação de malware, ao conseguir enganar usuários que poderiam evitar extensões suspeitas, como .EXE. No segundo caso, a terminação .com é utilizada para domínios genéricos de Internet, diferente de terminações territoriais, como .cl (Chile) ou .br (Brasil), que pertencem a determinado país.

Este “trágico incidente” foi detectado pelo ESET NOD32 Antivirus como o trojan Win32/TrojanDownloader.Agent.RDR. Se esta ameaça é executada, tenta baixar dois arquivos que atualmente estão corrompidos, ou seja, que não funcionavam corretamente. Contudo, vale destacar que, a qualquer momento, os criminosos virtuais responsáveis por estes códigos maliciosos podem atualizar o servidor a partir de onde são baixados os arquivos com finalidade de disseminar mais malware.

Somado ao anterior, a vontade de obter dinheiro ilicitamente por parte desses criminosos virtuais não terminam aqui. Realizando uma análise mais detalhada, encontramos dois códigos maliciosos que provavelmente também foram propagados por este grupo. Um deles também é enviado simulando um vídeo, porém utilizando outro tema menos explícito. Aqui o usuário é seduzido a partir da desculpa de que nesse material multimídia poderá observar coisas absurdas que acontecem no país. Neste caso, trata-se de um trojan bancário (destinado a roubar informações bancárias), também detectado por nossa solução antivírus como Win32/Spy.Banker.XOT. Ao ser executado, baixa da Internet e executa outra ameaça, o trojan BAT/Agent.NLF.

Finalmente, encontramos um terceiro código malicioso que, através da técnica de pharming local, modifica o arquivo host do computador da vítima para redirecioná-la a sites fraudulentos quando tentar acessar determinadas instituições financeiras e bancos brasileiros. Assim como o anterior, este trojan também atua como proxy com a finalidade de garantir mais uma vez que o usuário irá acessar  um site bancário falso. Veja a captura da tela do golpe:

Neste caso, pudemos observar que o trojan detectado como Win32/ProxyChanger.CF age formatando o sistema da vítima após algum tempo. Por outro lado, destacamos que somente com a recepção de somente um e-mail e após várias análises exaustivas, pudemos determinar que esses criminosos virtuais contam com pelo menos quatro códigos maliciosos (três propagados e outro que é baixado após a infecção) e uma grande criatividade para manipular os usuários mais desatentos e assim maximizar seus ganhos ilícitos.

Neste tipo de caso, o principal conselho, além de evitar clicar em links desconhecidos que sejam enviados a você em e-mails e redes sociais. Além disso, através da utilização de uma solução antivírus com capacidade de detecção proativa e adotar uma postura de uso que permita ao usuário discernir entre um e-mail malicioso e um genuíno permite mitigar o impacto das ameaças digitais. Em casos onde a pessoa tenha sido vítima desse tipo de ameaça, é imprescindível que entre em contato com seu banco para mudar as senhas e adotar as medidas necessárias.

André Goujon
Especialista de Awareness & Research

Categories: Alertas
No Comments »

A engenharia social sem dúvida é um dos métodos mais eficazes para os cibercriminosos  obterem lucro com a manipulação dos usuários desprevenidos para que executem algum código malicioso. Ou ainda, como no caso que iremos abordar neste post, que entreguem todas as informações de seu cartão de crédito, como seu número completo, data de expiração, código de segurança, nome e sobrenome do titular e número de CPF.

Mediante a falsa promessa sobre um concurso associado à marca do cartão de crédito, os criminosos atraem a vítima em potencial para que entregue as informações citadas anteriormente, tudo através de três passos para não levantar suspeitas. Primeiramente, solicitam os primeiros seis dígitos do cartão de crédito. Em seguida, os outros dígitos restantes e mais dados como data de expiração e código de segurança. Finalmente, a vítima é levada a inserir seu CPF. Uma vez completadas as etapas da fraude, o usuário recebe uma confirmação de registro para o suposto concurso, incluindo um número falso como forma de passar ideia de legitimidade ao processo.

A seguir, mostramos as três etapas em que é solicitado ao usuário que insira seus dados e a quarta que afirma que o registro foi realizado com sucesso:

Ainda que para muitos usuários mais bem informados e precavidos este tipo de phishing, em que se solicita uma grande quantidade de informação sensível de forma tão direta, possa parecer absurdo, fraudes similares aparecem diariamente. Isso indica que a prática continua sendo uma tática bem sucedida, considerado que, geralmente, esse tipo de e-mail é propagado massivamente para aumentar a probabilidade de que vários usuários se tornem vítimas.

Se algum usuário chega a entregar informações bancárias sensíveis como dados de cartão de crédito, credenciais de acesso para trâmites financeiros, entre outros dados, ele deve contatar sua instituição financeira imediatamente para bloquear o cartão e mudar as senhas. Uma forma simples de prevenir ataques de phishing como este é lembrar-se que jamais um banco ou instituição séria irá pedir informações comprometedoras através de e-mail, redes sociais ou qualquer meio similar, não importa o motivo alegado. Geralmente os criminosos virtuais recorrem à tática do scareware, ou seja, amedrontam o usuário para que ele entregue informações que não entregaria de outra maneira, ou ainda oferecem prêmios ou algo tentador em troca. Com base nisso, é imprescindível acessar o site do banco escrevendo o endereço correto diretamente na barra de navegação, e não seguir links.

Por outro lado, uma conduta precavida e informada somada à implementação de uma solução antivírus com capacidade de detecção proativa diminuirá consideravelmente o risco de que uma pessoa seja afetada por alguma ameaça digital.

André Goujon
Especialista de Awareness & Research

Categories: Phishing
No Comments »

Foi lançada uma nova campanha de phishing direcionada a clientes de um importante banco brasileiro. Essa campanha consiste na clonagem do site da instituição com a finalidade de roubar as credenciais de acesso e outros dados importantes que detalhamos a seguir.

A campanha começa com um site exatamente idêntico ao do conhecido banco. A primeira característica para suspeitar de que se trata de um golpe é a origem do domínio. Como podemos visualizar na imagem, o domínio pertence ao Vietnã (.vn), o que não tem sentido para o site de uma instituição brasileira. Outro aspecto que devemos destacar é que o falso domínio não conta com nenhum link habilitado, a não ser o que oferece acesso ao serviço de home banking.

Quando o usuário insere o número da agência e o número da conta, e clica no botão OK (único link habilitado) começará uma série de passos para obter todos os dados que vinculam o usuário à sua conta bancária.

Neste passo, solicitamos ao usuário que insira os quatro dígitos correspondentes ao seu cartão utilizando os botões que se encontram no site. Surpreendentemente, uma vez inseridos os dígitos, o site informa que a senha está incorreta e que deve ser inserida novamente.

Isso ocorre, possivelmente, devido ao fato de os desenvolvedores exigirem duas vezes a senha para evitar possíveis erros do usuário. Seguindo o processo do golpe, o site aceita a senha inserida pelo usuário, e agora solicita três dígitos de segurança que se encontram no cartão de chaves do usuário.

A essa altura do golpe, de forma inacreditável, o site falso oferece conselhos de segurança ao usuário informando que, para não sofrer acessos indevidos à sua conta, é necessário realizar a ativação do cartão de chaves.

Se o usuário pressiona o botão de “ativar agora”, o site falso mostra um formulário para acessar todos os dígitos do cartão de chaves.

Assim que o usuário insere todos os números correspondentes ao seu cartão de chaves e pressiona “avançar”, o site falso redireciona o usuário ao site original do banco.

Como podemos ver na imagem obtida a partir da captura do tráfego de dados, podemos observar como os dados que foram inseridos pelo usuário são enviados de forma conjunta ao site sem nenhum tipo de encriptação, colocando-os à disposição dos criminosos virtuais que desenvolveram o golpe.

Esse tipo de golpe é cada vez mais frequente, por isso é recomendável contar com uma solução antivírus com capacidade de detecção proativa.

Fernando Catoira
Analista de Segurança

Categories: Alertas, Phishing
2 Comments »