Malware bancário: brasileiro e perigoso

Já foram reportados vários casos de phishing com geolocalização e outros casos de códigos maliciosos direcionados a usuários brasileiros. Recentemente, a ESET detectou um novo trojan que afeta aos usuários de instituições financeiras no Brasil.
O código malicioso é detectado pelas soluções de detecção proativa da ESET como Win32/Spy.Banker.YJS trojan. Assim que é executado na máquina do usuário, o malware cria um arquivo na pasta System32, iniciando um processo que é executado e espera que o usuário acesse a página do banco na Internet:

Se o usuário inserir a página de seu banco utilizando um navegador diferente no Internet Explorer, este automaticamente fecha e mostra um aviso para que se utilize o navegador mencionado. Este comportamento pode ser um sinal de alerta para o usuário, já que se antes o banco permitia a utilização de diferentes navegadores para o acesso, não é normal que restrinja o uso a um só navegador em particular.

Uma vez que o usuário insere os dados de sua conta, o código malicioso inicia a captura da informação. Toda essa captura é feita simulando uma página do banco, mas sem gerar tráfego de rede. Nesse ponto, novamente há um alerta para o usuário: apesar de estar lidando com informações sensíveis, a conexão utilizada não está criptografada, o que não é normal em uma conexão de confiança como a que se estabelece com as entidades financeiras. Isto é detectado facilmente ao observar a barra de endereço do navegador e descobrir que não se está utilizando o protocolo seguro https://.

Se o usuário continua inserindo sua informação pessoal, além de pedir os dados de seu cartão, também pede para inserir dados pessoais como números de identificação e de confirmação pessoal; chegando a um ponto em que o código malicioso simula um teclado virtual onde deve ser inserida a senha associada com a conta. Tudo isso se faz simulando as páginas do banco, mas novamente há alertas que poderiam levantar a suspeita de haver algo errado. Ao clicar nos ícones de ajuda não aparece nenhuma informação, o que não seria habitual na página original de uma entidade financeira:

Finalmente uma vez que o usuário inseriu toda sua informação na página falsa, o código malicioso envia um e-mail ao atacante com um resumo de toda a informação inserida: senhas, números de conta e números de identificação. Além disso, ocorre a captura de informação do computador a partir do momento em que o usuário se conectou à Internet:

Algo particular deste código malicioso é que utiliza um certificado eletrônico roubado, da Comodo, uma entidade certificadora real, como se pode observar nas capturas a seguir.

Esta característica faz com que o código malicioso possa se propagar por servidores de correio e sistemas sem que seja detectado por muitas ferramentas de segurança. Além de contar com a solução de segurança podemos ter em conta práticas de boa navegação realizar transações seguras na Internet.

Agradeço aos amigos e colaboradores deste site, Davi, Lucas e Vanderlei, pela referência a esta notícia.

Fonte: Eset blog

2 Responses to Malware bancário: brasileiro e perigoso

  1. Esse trojan já faz tempo que circula na net, no meu serviço tinha isso no pc e eu tentava remover sem conseguir; não me lembro bem o que eu fiz mas sei que uma hora eu consegui remover e se me lembro bem na época eu perguntei aqui no fórum com o Victor que me deu algumas dicas e ai sim utilizando os programas que me foram passados eu acabei removendo ele do pc. Mas só consegui identificá-lo na época foi porque uma vez resolvi instalar o CIS comodo e acusou tal plugin como trojan. Mesmo assim Victor queria saber se o pessoal da Comodo já foi avisado e se já revogou a licensa que dá acesso a esse trojan.
    Caso ainda não tenham feito nada seria a hora da Comodo dar uma geral nessas licensas né, já não é o primeiro caso que ouço isso acontecendo com a Comodo logo ela que eu adoro pelo excelente antivírus nos dado de graça e ao qual confio bem.
    Isso só comprova que além de um bom antivírus, um ótimo firewall e claro um anti-malware como o (malwarebytes) e demais softwares que possamos colocar no pc para evitar assim roubos ou outro tipo de ameaças nos rondando no virtual e na real já que nos roubam dinheiro do mundo real.

    • Victor Hugo disse:

      Augusto,
      Não tenho confirmação oficial da Comodo quanto à remoção ou cancelamento deste certificado digital relacionado a esta fraude.
      Na minha opinião, a Comodo conta com excelentes produtos – um ótimo firewall e uma das melhores suites de segurança gratuitas do mercado, mas deixa muito a desejar no fornecimento de certificados digitais pela falta de critérios mais rígidos nesta concessão.

      Obrigado pelo seu comentário e participação!

Seguir

Obtenha todo post novo entregue na sua caixa de entrada.

Junte-se a 462 outros seguidores

%d blogueiros gostam disto: