Malware analisado pela PSafe rouba senhas de banco, FTP e e-mail
PSafe Tecnologia analisa e monitora funcionamento de Spy Banker no Brasil. Veja como age esta ameaça digital
O Spy Banker é um malware responsável por roubar senhas de usuários de Internet Banking, e neste caso específico, além de roubar acessos bancários, também registra senhas de FTPs e de contas de e-mails.
A propagação desde malware se dá por meio de ações de phishing e-mail (e-mails com links para download da ameaça), mensagens que utilizam descrições bem atrativas para enganar o usuário e induzi-lo a clicar no link malicioso, muitas vezes com ofertas ou alertas de segurança falsos.
Um usuário infectado pode servir de ponte para novas infecções. Por exemplo, se o atacante consegue acesso ao e-mail de um usuário ou de algum endereço FTP, ele o utiliza para disparar o malware a outros usuários de internet, aumentando a propagação da ameaça.
Com acesso ao FTP, o atacante pode fazer upload do malware no ambiente interno da empresa, hospedando a ameaça digital em questão no local, que passa a ser distribuída à rede de computadores conectada ao servidor.
O passo a passo da infecção
A execução do arquivo malicioso Spy Banker gera um processo que realiza o download de outro malware no computador do usuário, este mais robusto e capaz de capturar informações de hardware e e-mails, iniciando a replicação da ameaça.
O primeiro malware tem tamanho menor que o segundo para que seja baixado para a máquina do usuário de forma mais rápida, aumentando as taxas de sucesso de infecção. Este malware depois de instalado baixa um segundo malware de tamanho maior, com recursos mais sofisticados.
O download do segundo malware, replicador da ameaça, é realizado em background, sem que o usuário perceba a ação e, mesmo que o processo seja interrompido por algum problema de conexão, por exemplo, o primeiro malware (de tamanho reduzido), sempre tentará baixá-lo novamente, até que tenha sucesso.
O segundo malware, mais robusto, é o responsável por capturar informações de e-mail e SMTP, com intenção de propagar o malware espião. Ele também acessa informações de hardware da máquina para que possa cloná-la, como podemos ver no código abaixo:
A clonagem é necessária para que os criminosos possam realizar as transações financeiras bancárias de posse dos dados de login e senha do usuário infectado, já que muitos bancos exigem o cadastramento dos computadores que podem acessar a conta bancária.
Como age o Spy Banker
Depois de infectar a máquina ou PC com o Spy Banker, tem início as tentativas de captura das informações de contas do usuário, como senha e login. Neste caso, o malware age assim:
1° Malware
Ele é o responsável por verificar em qual browser o usuário esta acessando o site do banco.
1. Ao tentar acessar a conta bancária via Chrome ou Firefox, é exibida a mensagem abaixo ao usuário infectado:
2. Caso o usuário marque ‘OK’, o browser é fechado e o site do banco digitado é aberto no Internet Explorer.
O mesmo acontece se o usuário fechar a caixa de diálogo ou apertar a tecla ‘ESC’ do computador.
3. A partir desse ponto toda a operação bancaria realizada pelo usuário está sendo monitorada.
4. O criminoso tem acesso ao login, senha e chave de segurança bancários por meio de captura das informações fornecidas e screenshots.
5. O usuário não consegue minimizar a janela do browser, ela fica “pulando” na tela a todo momento.
6. O usuário fica vulnerável.
2º malware
Após instalado no computador, o Spy Banker baixa outro malware no PC, que iniciará a replicação da ameaça espião para outras máquinas.
A PSafe monitorou atividade deste Spy Banker e descobriu que os criminosos enviavam as informações de acesso às contas para um servidor malicioso, criando um banco de dados que estaria à disposição do crime.
Ao menos 14 empresas brasileiras foram infectadas com o malware. Todas já foram avisadas pela PSafe para trocarem suas informações de acesso, como login e senhas, além de recomendações para fazerem uma varredura por vírus e ameaças digitais nos seus sistemas internos.
Lista de empresas afetadas pelo Spy Banker
Por medidas de segurança e privacidade, a PSafe não divulga o nome destas empresas, apesar de já ter feito contato com todas elas para que ficassem cientes da ameaça e vulnerabilidade dos seus dados. A seguir, uma lista de atuação destas empresas:
- Grande varejista brasileiro, com atividade no exterior.
- Importante canal de televisão nacional.
- 29 endereços de FTP.
- 1.952 contas de e-mail.
O PSafe Total é capaz de reconhecer, bloquear e eliminar a ameaça Spy Banker. Por isso, recomenda a todos os usuários de internet no País fazerem a verificação por vírus e malwares ao menos uma vez por semana em suas máquinas e dispositivos eletrônicos.
Abaixo, algumas strings utilizadas pelo malware:
Com essas informações, conseguimos identificar quais os alvos do malware, entre eles usuários de muitos bancos que atuam no Brasil e navegadores de internet, como:
- Caixa Econômica Federal
- Banco Bradesco
- Banco do Brasil
- Banco Itaú
- Banco Santander
- Sicredi
- Mozilla Firefox
- Internet Explorer
- Etc.