ProxyCharger: Brasileiros são o alvo preferido do malware

O Laboratório de Pesquisa da ESET América Latina recebeu um caso de phishing envolvendo vários bancos, cartões de crédito e até mesmo informações de pessoas físicas e jurídicas. O ataque é realizado quando o usuário faz o download de um programa malicioso que redireciona a vítima para sites falsos, todos do Brasil e em português.

Antes de roubar informações, os cibercriminosos devem encontrar uma maneira de espalhar o seu ataque. Afinal, se a ameaça não atinge nenhum usuário, é como se ele não tivesse existido. Neste sentido, é muito comum ver em ataques de phishing que o principal meio de propagação é pelo uso de e-mails: neles há um link que, quando clicado, leva o usuário para um site falso que é uma cópia idêntica de um site original.

No entanto, neste caso particular, o link envia ao usuário a uma aplicação maliciosa. Observa-se que o arquivo baixado tem um ícone de uma pasta, mas ele diz “Executar para exibir”, o que é contraditório, porque, se fosse uma pasta, não seria executável. Mas, na realidade, esse arquivo é executável e usa a opção do Windows “ocultar extensão de arquivo conhecido” que é ativado por padrão automaticamente.

Quando executado, ele desencadeia uma série de ações que alteram as configurações de proxy do sistema. Logo em seguida, ao acessar a configuração, ele mudou “magicamente”. Após a execução do malware, a configuração é feita automaticamente por um script armazenado em um arquivo no computador. Este arquivo contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais.

Por exemplo : para ” * nome_banco * ” utilização ” dominio_proxy “. Portanto, cada vez que o usuário entra em uma URL em seu navegador para coincidir com os critérios definidos, o pedido é enviado para o proxy. Assim, se o usuário digitar um endereço que contém ” nome_banco ” em algum lugar , a aplicação irá passar pelo proxy.

A partir da observação dessas expressões utilizadas, pôde-se notar que os criminosos pretendem bancos, provedores de cartão de crédito e serviços de informação e veículo pessoal. Quando o usuário tentar visitar um desses sites, o proxy vai intervir no caminho, encaminhando para uma versão falsa do site.

Primeiro é realizado um pedido para o nome de domínio DNS pelo nome de domínio do proxy, e não do banco, onde o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. Descobrimos a existências de um intermediário de manipulação de solicitações de usuários.Em ataques de phishing o site falso se parece exatamente com o legítimo, mas, neste caso, parece que a versão do site do banco que os cibercriminoso copiou, é antigo.

 

http://convergenciadigital.uol.com.br/cgi/cgilua.exe/sys/start.htm?infoid=35398&sid=18#.UoTJ6hCzIdU