ProxyCharger: nova ameaça direcionada aos brasileiros

Ameaça-virtualPhishing que rouba dados de usuários brasileiros foi detectado pelos laboratórios da ESET

Nos últimos dias, o Laboratório de Pesquisa da ESET América Latina recebeu um caso de phishing envolvendo vários bancos, cartões de crédito e até mesmo informações de pessoas físicas e jurídicas. O ataque é realizado quando o usuário faz o download de um programa malicioso que redireciona a vítima para sites falsos, todos do Brasil e em português.

Antes de roubar informações, os cibercriminosos devem encontrar uma maneira de espalhar o seu ataque. Afinal, se a ameaça não atinge nenhum usuário, é como se ela não tivesse existido. Nesse sentido, é muito comum ver em ataques de phishing que o principal meio de propagação é o uso de emails: neles há um link que, quando clicado, leva o usuário para um site falso, o qual é uma cópia idêntica de um site original.

Entenda como isso acontece

No entanto, nesse caso particular, o link envia o usuário a uma aplicação maliciosa. O arquivo baixado tem um ícone de uma pasta, mas apresenta a mensagem “Executar para exibir” — o que é contraditório, porque, se ele fosse uma pasta, não seria executável. Entretanto, na realidade esse arquivo é executável mesmo e usa a opção do Windows “ocultar extensão de arquivo conhecido”, que é ativada por padrão automaticamente.

Quando executado, o arquivo desencadeia uma série de ações que alteram as configurações de proxy do sistema. Logo em seguida, ao acessar a configuração, você percebe que ela mudou “magicamente”.

img1Após a execução do malware, a configuração é feita automaticamente por um script armazenado em um arquivo no computador. Esse documento contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais. Por exemplo, para ” * nome_banco * ” é utilizado ” dominio_proxy “. Portanto, cada vez que o usuário entra em uma URL em seu navegador para coincidir com os critérios definidos, o pedido é enviado para o proxy.

Assim, se o usuário digitar um endereço que contém ” nome_banco ” em algum lugar, a aplicação vai passar pelo proxy. A partir da observação dessas expressões utilizadas, pôde-se notar que os criminosos pretendem atingir bancos, provedores de cartão de crédito e serviços de informação e veículo pessoal. Quando a pessoa tentar visitar um desses sites, o proxy vai intervir, encaminhando-o para uma versão falsa do site:

img2Primeiro é realizado um pedido para o nome de domínio DNS pelo nome de domínio do proxy, e não do banco, no qual o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. Descobrimos assim a existência de um intermediário de manipulação de solicitações de usuários.

Em ataques de phishing o site falso se parece exatamente com o legítimo, mas nesse caso parece que a versão do site do banco que os cibercriminosos copiaram é antiga. O site que é obtido na máquina do usuário infectado se parece com essa:

img3No entanto, ao acessar o site oficial do banco em uma máquina não infectada, se obtém o seguinte:

img4Note que, no caso de um usuário infectado, a URL introduzida na barra de endereço está correta, mas a página exibida no navegador, não. Em muitos ataques de phishing, o mais comum é que a URL acessada não seja a correta, o que pode ser visto na barra de endereços, mas, nesse caso, o usuário não pode fazer uso desta observação para evitar o ataque.

A detecção para esta ameaça foi adicionada ao banco de dados de assinaturas no dia 05 de novembro, sob o nome de Win32/ProxyChanger.LV. Os códigos maliciosos da família ProxyChanger prevalecem no Brasil muito mais que em qualquer outro lugar do mundo. Assim, por meio dos dados do mês passado, pode-se notar como o Brasil é o país mais infectado.

img5Em resumo, esse código malicioso ataca os usuários brasileiros e pretende roubar informações pessoais para acessar sistemas bancários ou bancos de dados de informações das pessoas. Tudo o que foi descrito até agora poderia não ter acontecido se o usuário utilizasse uma solução de segurança em seu computador. Nesse caso, no momento das tentativas de baixar a ameaça, ela seria bloqueada e eliminada pelo produto, de acordo com Matías Porolli, especialista de Awareness & Research.

Opinião do seu micro seguro: encontrei na base de dados do site Virus Total uma análise recente de um executável relativo a esse malware. A grande maioria das soluções de segurança já o detectam como uma ameaça, porém com nomes diferentes como vocês podem conferir clicando aqui.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fontes: Tecmundo e ESET

4 Responses to ProxyCharger: nova ameaça direcionada aos brasileiros

  1. Jeferson says:

    Ola Victor

    Excelente matéria,observando a analise desse malware no virus total,vi que a Comodo não reconhece esse malware,tem que ter cuidado,se eu por ventura faço o download desse malware o CIS daria acesso livre e acabaria contaminando meu sistema,mas creio que o defense mais acabaria barrando a ameaça e isolando na sandbox,estou certo amigo?

    muito obrigado amigo a você e a todos os amigos que fazem parte do Seu Micro seguro,e por causa de vocês que aprendi a proteger melhor o meu pc,lendo as matérias e as recomendações.

    muito obrigado por tudo,abraço a todos,ótimo fim de semana.

    • Victor Hugo says:

      Jeferson,
      Sim, o Defense+ do CIS certamente iria impedir a ação daquele tipo de malware, mesmo não contando no momento com uma assinatura de detecção para tanto.

      Obrigado pela sua participação e um ótimo final de semana!

  2. Marcelo Miranda says:

    Olá Victor,

    Observando a análise do Virus Total do executável relativo a esse malware, percebi que procede a informação, na qual vários usuários comentaram em fóruns na internet, que o mecanismo de verificação em nuvem do antivirus Baidu faz uso das assinaturas em nuvem do Kaspersky. Ambos conferem a mesma descrição para esse executável ProxyCharger, denominando-o “Trojan-Banker.Win32.Banbra.bbyx”. Vi em um fórum, se não me engano do próprio Baidu, um moderador negando essa informação a um usuário, porém o usuário mostra exatamente esse argumento das mesmas descrições. Na minha opinião acho que a informação procede, já que a versão chinesa do Baidu antivirus faz uso da engine do Kaspersky, em substituição ao motor do Avira, presente na versão internacional do Baidu. O Baidu omite que faz uso do Kaspersky no mecanismo da nuvem em sua versão internacional, mas fica evidente que a faz. Por qual motivo seria essa omissão e negação por parte do Baidu? estranho.

    Abraço.

    • Victor Hugo says:

      Marcelo Miranda,
      Muito boa a sua observação. Ao que parece o Baidu Chinês conta com as assinaturas da Kaspersky enquanto o Internacional utiliza aquelas do Avira.
      Acredito que a diferença seja por conta de questões contratuais, ou seja, o contrato mais antigo celebrado para a versão chinesa ainda faz uso do Kaspersky e aquele mais recente (internacional) utiliza a Avira.
      Na minha opinião a tendência seja de que no futuro próximo ambas as versões estejam venham a utilizar apenas um dos mecanismos, no caso, o Avira.
      O estranho nisso tudo é a Baidu ão admitir publicamente esse fato.

      Muito obrigado pelo seu comentário e participação!

%d blogueiros gostam disto: