Já foram reportados vários casos de phishing com geolocalização e outros casos de códigos maliciosos direcionados a usuários brasileiros. Recentemente, detectamos um novo trojan que afeta aos usuários de instituições financeiras no Brasil.

O código malicioso é detectado pelas soluções de detecção proativa da ESET como Win32/Spy.Banker.YJS trojan. Assim que é executado na máquina do usuário, o malware cria um arquivo na pasta System32, iniciando um processo que é executado e espera que o usuário acesse a página do banco na Internet:

Se o usuário inserir a página de seu banco utilizando um navegador diferente no Internet Explorer, este automaticamente fecha e mostra um aviso para que se utilize o navegador mencionado. Este comportamento pode ser um sinal de alerta para o usuário, já que se antes o banco permitia a utilização de diferentes navegadores para o acesso, não é normal que restrinja o uso a um só navegador em particular.

Uma vez que o usuário insere os dados de sua conta, o código malicioso inicia a captura da informação. Toda essa captura é feita simulando uma página do banco, mas sem gerar tráfego de rede. Nesse ponto, novamente há um alerta para o usuário: apesar de estar lidando com informações sensíveis, a conexão utilizada não está criptografada, o que não é normal em uma conexão de confiança como a que se estabelece com as entidades financeiras. Isto é detectado facilmente ao observar a barra de endereço do navegador e descobrir que não se está utilizando o protocolo seguro https://.

Se o usuário continua inserindo sua informação pessoal, além de pedir os dados de seu cartão, também pede para inserir dados pessoais como números de identificação e de confirmação pessoal; chegando a um ponto em que o código malicioso simula um teclado virtual onde deve ser inserida a senha associada com a conta. Tudo isso se faz simulando as páginas do banco, mas novamente há alertas que poderiam levantar a suspeita de haver algo errado. Ao clicar nos ícones de ajuda não aparece nenhuma informação, o que seria habitual na página original de uma entidade financeira:

Finalmente uma vez que o usuário inseriu toda sua informação na página falsa, o código malicioso envia um e-mail ao atacante com um resumo de toda a informação inserida: senhas, números de conta e números de identificação. Além disso, ocorre a captura de informação do computador a partir do momento em que o usuário se conectou à Internet:

Algo particular deste código malicioso é que utiliza um certificado eletrônico roubado, da Comodo, uma entidade certificadora real, como se pode observar nas capturas a seguir.

Esta característica faz com que o código malicioso possa se propagar por servidores de correio e sistemas sem que seja detectado por muitas ferramentas de segurança. Além de contar com a solução de segurança podemos ter em conta práticas de boa navegação realizar transações seguras na Internet.

Fernando Catoira, Analista de Segurança
H. Camilo Gutiérrez Amaya, Especialista de Awareness & Research

Categories: Análise de malware
1 Comment »

Na última semana, recebemos em nosso laboratório um e-mail utilizando como tema de engenharia social um suposto acidente que uma criança do Rio de Janeiro teria sofrido ao tentar saltar de uma altura de 30 metros para voar de parapente. Para torna-lo mais convincente, é inserida uma imagem que aparenta ser um vídeo compartilhado por redes sociais e se afirma que o falso arquivo anexo (o malware é baixado através de um link inserido na imagem) foi analisado pela solução antimalware do Hotmail, verificado como livre de ameaças.

Na tela a seguir, vemos o e-mail exibido e a considerável quantidade de endereços de envio no campo “Para”:

Conforme mencionado anteriormente, se o usuário acessar o link inserido no suposto vídeo irá baixar um arquivo malicioso com extensão COM que faz alusão ao portal Youtube ao incluí-lo como parte de seu nome, utilizando assim uma artimanha somada à confusão que pode gerar no usuário quando um arquivo executável “COM” e o domínio genérico de um site “.com”. No primeiro caso, trata-se de arquivos executáveis que costumavam ser utilizados em sistemas operacionais antigos como MS-DOS e que, na atualidade, estão sendo amplamente utilizados para facilitar a propagação de malware, ao conseguir enganar usuários que poderiam evitar extensões suspeitas, como .EXE. No segundo caso, a terminação .com é utilizada para domínios genéricos de Internet, diferente de terminações territoriais, como .cl (Chile) ou .br (Brasil), que pertencem a determinado país.

Este “trágico incidente” foi detectado pelo ESET NOD32 Antivirus como o trojan Win32/TrojanDownloader.Agent.RDR. Se esta ameaça é executada, tenta baixar dois arquivos que atualmente estão corrompidos, ou seja, que não funcionavam corretamente. Contudo, vale destacar que, a qualquer momento, os criminosos virtuais responsáveis por estes códigos maliciosos podem atualizar o servidor a partir de onde são baixados os arquivos com finalidade de disseminar mais malware.

Somado ao anterior, a vontade de obter dinheiro ilicitamente por parte desses criminosos virtuais não terminam aqui. Realizando uma análise mais detalhada, encontramos dois códigos maliciosos que provavelmente também foram propagados por este grupo. Um deles também é enviado simulando um vídeo, porém utilizando outro tema menos explícito. Aqui o usuário é seduzido a partir da desculpa de que nesse material multimídia poderá observar coisas absurdas que acontecem no país. Neste caso, trata-se de um trojan bancário (destinado a roubar informações bancárias), também detectado por nossa solução antivírus como Win32/Spy.Banker.XOT. Ao ser executado, baixa da Internet e executa outra ameaça, o trojan BAT/Agent.NLF.

Finalmente, encontramos um terceiro código malicioso que, através da técnica de pharming local, modifica o arquivo host do computador da vítima para redirecioná-la a sites fraudulentos quando tentar acessar determinadas instituições financeiras e bancos brasileiros. Assim como o anterior, este trojan também atua como proxy com a finalidade de garantir mais uma vez que o usuário irá acessar  um site bancário falso. Veja a captura da tela do golpe:

Neste caso, pudemos observar que o trojan detectado como Win32/ProxyChanger.CF age formatando o sistema da vítima após algum tempo. Por outro lado, destacamos que somente com a recepção de somente um e-mail e após várias análises exaustivas, pudemos determinar que esses criminosos virtuais contam com pelo menos quatro códigos maliciosos (três propagados e outro que é baixado após a infecção) e uma grande criatividade para manipular os usuários mais desatentos e assim maximizar seus ganhos ilícitos.

Neste tipo de caso, o principal conselho, além de evitar clicar em links desconhecidos que sejam enviados a você em e-mails e redes sociais. Além disso, através da utilização de uma solução antivírus com capacidade de detecção proativa e adotar uma postura de uso que permita ao usuário discernir entre um e-mail malicioso e um genuíno permite mitigar o impacto das ameaças digitais. Em casos onde a pessoa tenha sido vítima desse tipo de ameaça, é imprescindível que entre em contato com seu banco para mudar as senhas e adotar as medidas necessárias.

André Goujon
Especialista de Awareness & Research

Categories: Alertas
No Comments »

Apesar de ser um tema muito comentado, os famosos ataques de phishing continuam sendo muito eficientes na hora de obter informação dos usuários descuidados. Essas técnicas de ataque consistem em clonar o site original da instituição bancária que as vítimas acessam, acreditando que estão visitando o site verdadeiro, e sem se dar conta entregam seus dados ao criminoso. Há diferentes métodos para que uma vítima seja enganada, através de técnicas de engenharia social. O caso de phishing a seguir foi direcionado a clientes de um banco brasileiro, reportado por um usuário a nossos laboratórios.

O ataque começa com o envio de um e-mail ao usuário, que é informado sobre uma suposta atualização de um módulo de segurança do banco. No e-mail também se encontra um link que direciona a vítima a outro site:

Uma vez que a vítima acessa o site, automaticamente através de aplicação desenvolvida em Flash, é solicitado que insira os dados de sua conta bancária, CPF e agência:

Todos os dados coletados por essa aplicação são enviados a outro formulário, como se pode ver no decompilador de Flash que utilizamos para analisar o aplicativo:

Se analisarmos o site onde estão armazenados os arquivos de phishing, é possível observar desde um backdoor utilizado para controlar o site, até arquivos para montar um scam para roubo de conversas do Messenger:

É importante que os usuários estejam atentos em não oferecer nenhum tipo de informação pessoal, já que os bancos nunca vão solicitá-los desta maneira. Manter boas práticas para a navegação na Internet e contar com uma solução com detecção proativa, como o ESET NOD32 Antivirus, pode prevenir muitos dos ataques tão habituais que se observam diariamente.

Como um conselho extra, na maioria dos sites em que se solicita informação sensível, como home banking, pagamento de serviços online, compra de produtos, entre outros; pode-se observar na barra de endereços que a URL começa com HTTPS (Hyper Text Transfer Protocol Secure), indicando que a transmissão de dados está sendo codificada.

Claudio Cortés Cid
Especialista de Awareness & Research

Categories: Phishing
No Comments »

Os e-mails são um dos principais meios de propagação para os códigos maliciosos. Nesse texto, comentamos um ataque direcionado a clientes de Internet banking, através de um suposto software de segurança para realizar suas transações. Nesse tipo de ataque, o usuário baixa uma suposta aplicação de segurança, que na realidade rouba sua informação.

O ataque começa com envio de e-mails de maneira massiva, a partir de uma conta falsa, associada à instituição bancária, no corpo do e-mail se encontra uma imagem que contém um link de download do código malicioso:

O texto que acompanha o link faz uso de engenharia social, não somente com as cores da instituição, mas também com o texto utilizado, que alerta ao usuário sobre a obrigatoriedade da atualização ser feita dentro de um prazo de 48 horas, sendo a conta de home banking suspensa caso contrário.

Quando um usuário é vítima desse ataque e baixa o aplicativo, na realidade não está instalando um software de segurança, sendo que se trata de um cavalo de troia, detectado pelo ESET NOD32 Antivirus como Win3/Spy.Banker.

Ao executar esta ameaça, se apresenta uma interface gráfica que solicita os dados do usuário, de maneira similar ao acesso através da página oficial:

Contudo, enquanto o usuário acredita que está acessando seu banco online, toda informação que venha a inserir na tela está sendo armazenada para ser enviada ao criminoso responsável pelo golpe. No decorrer da execução do código malicioso são coletados diferentes dados, para que possa acessar também as informações pessoais do usuário

Assim que o usuário insere suas credenciais de acesso, passa a uma segunda tela, onde deve selecionar quais são suas contas e iniciar sessão através de uma senha:

Uma vez que o usuário insere toda sua informação bancária relacionada às suas contas, são solicitados dados pessoais para sua identificação entre as quais se destacam:

•    Nome dos pais
•    Data de nascimento
•    RG
•    CPF
•    Senha do cartão de débito
•    Senha telefônica

Assim que o usuário insere os dados, eles são reenviados através de um e-mail do Gmail, como podemos ver na imagem a seguir:

Esse tipo de ataque contra usuários de Internet banking é comum e busca enganar os que não dão atenção às medidas de segurança, ou não contam com uma solução antivírus com capacidade de detecção proativa, e acabam tendo seus dados roubados.

Certas instituições bancárias oferecem aplicativos de segurança para verificar que o usuário está utilizando uma conexão segura ou acessando o site oficial, mas elas se encontram disponíveis nas páginas dos bancos, e não são enviadas através de e-mails. Caso receba essas mensagens falsas, é recomendável reporta-las com o objetivo de alertar as demais pessoas.

Pablo Ramos
Especialista de Awarenes & Research

Categories: Alertas, Malware
No Comments »