Categorias: Ciberataques

Malware analisado pela PSafe rouba senhas de banco, FTP e e-mail

O Spy Banker é um malware responsável por roubar senhas de usuários de Internet Banking, e neste caso específico, além de roubar acessos bancários, também registra senhas de FTPs e de contas de e-mails.

A propagação desde malware se dá por meio de ações de phishing e-mail (e-mails com links para download da ameaça), mensagens que utilizam descrições bem atrativas para enganar o usuário e induzi-lo a clicar no link malicioso, muitas vezes com ofertas ou alertas de segurança falsos.

Um usuário infectado pode servir de ponte para novas infecções. Por exemplo, se o atacante consegue acesso ao e-mail de um usuário ou de algum endereço FTP, ele o utiliza para disparar o malware a outros usuários de internet, aumentando a propagação da ameaça.

Com acesso ao FTP, o atacante pode fazer upload do malware no ambiente interno da empresa, hospedando a ameaça digital em questão no local, que passa a ser distribuída à rede de computadores conectada ao servidor.

O passo a passo da infecção

A execução do arquivo malicioso Spy Banker gera um processo que realiza o download de outro malware no computador do usuário, este mais robusto e capaz de capturar informações de hardware e e-mails, iniciando a replicação da ameaça.

O primeiro malware tem tamanho menor que o segundo para que seja baixado para a máquina do usuário de forma mais rápida, aumentando as taxas de sucesso de infecção. Este malware depois de instalado baixa um segundo malware de tamanho maior, com recursos mais sofisticados.

O download do segundo malware, replicador da ameaça, é realizado em background, sem que o usuário perceba a ação e, mesmo que o processo seja interrompido por algum problema de conexão, por exemplo, o primeiro malware (de tamanho reduzido), sempre tentará baixá-lo novamente, até que tenha sucesso.

O segundo malware, mais robusto, é o responsável por capturar informações de e-mail e SMTP, com intenção de propagar o malware espião.  Ele também acessa informações de hardware da máquina para que possa cloná-la, como podemos ver no código abaixo:

A clonagem é necessária para que os criminosos possam realizar as transações financeiras bancárias de posse dos dados de login e senha do usuário infectado, já que muitos bancos exigem o cadastramento dos computadores que podem acessar a conta bancária.

Como age o Spy Banker

Depois de infectar a máquina ou PC com o Spy Banker, tem início as tentativas de captura das informações de contas do usuário, como senha e login. Neste caso, o malware age assim:

1° Malware

Ele é o responsável por verificar em qual browser o usuário esta acessando o site do banco.

1. Ao tentar acessar a conta bancária via Chrome ou Firefox, é exibida a mensagem abaixo ao usuário infectado:

2. Caso o usuário marque ‘OK’, o browser é fechado e o site do banco digitado é aberto no Internet Explorer.

O mesmo acontece se o usuário fechar a caixa de diálogo ou apertar a tecla ‘ESC’ do computador.

3. A partir desse ponto toda a operação bancaria realizada pelo usuário está sendo monitorada.

4. O criminoso tem acesso ao login, senha e chave de segurança bancários por meio de captura das informações fornecidas e screenshots.

5. O usuário não consegue minimizar a janela do browser, ela fica “pulando” na tela a todo momento.

6. O usuário fica vulnerável.

2º malware

Após instalado no computador, o Spy Banker baixa outro malware no PC, que iniciará a replicação da ameaça espião para outras máquinas.

A PSafe monitorou atividade deste Spy Banker e descobriu que os criminosos enviavam as informações de acesso às contas para um servidor malicioso, criando um banco de dados que estaria à disposição do crime.

Ao menos 14 empresas brasileiras foram infectadas com o malware. Todas já foram avisadas pela PSafe para trocarem suas informações de acesso, como login e senhas, além de recomendações para fazerem uma varredura por vírus e ameaças digitais nos seus sistemas internos.

Lista de empresas afetadas pelo Spy Banker

Por medidas de segurança e privacidade, a PSafe não divulga o nome destas empresas, apesar de já ter feito contato com todas elas para que ficassem cientes da ameaça e vulnerabilidade dos seus dados. A seguir, uma lista de atuação destas empresas:

  1. Grande varejista brasileiro, com atividade no exterior.
  2. Importante canal de televisão nacional.
  3. 29 endereços de FTP.
  4. 1.952 contas de e-mail.

O PSafe Total é capaz de reconhecer, bloquear e eliminar a ameaça Spy Banker. Por isso, recomenda a todos os usuários de internet no País fazerem a verificação por vírus e malwares ao menos uma vez por semana em suas máquinas e dispositivos eletrônicos.

Abaixo, algumas strings utilizadas pelo malware:

Com essas informações, conseguimos identificar quais os alvos do malware, entre eles usuários de muitos bancos que atuam no Brasil e navegadores de internet, como:

  1. Caixa Econômica Federal
  2. Banco Bradesco
  3. Banco do Brasil
  4. Banco Itaú
  5. Banco Santander
  6. Sicredi
  7. Mozilla Firefox
  8. Internet Explorer
  9. Etc.

 

Redação PSafe

O dfndr blog é um canal de caráter informativo que apresenta conteúdos exclusivos sobre segurança e privacidade no mundo mobile e empresarial, com dicas para manter a população protegida. Formado por uma equipe de repórteres especializados, o canal conta com a parceria dos especialistas em segurança do dfndr lab para trazer, em primeira mão, notícias sobre ataques, golpes, vulnerabilidades na internet, malwares e suas variações.

Posts Recentes

Novo golpe descoberto com o dfndr security já tem mais de 2 milhões em bloqueios

"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…

1 ano atrás

Futuro da Inteligência Artificial: CyberLabs participa de relatório do Google sobre futuro da inteligência artificial

Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…

1 ano atrás

Golpes da Copa: mais de 120 mil detecções em Novembro, aponta dfndr security

Conheça o novo golpe que se aproveita do maior evento esportivo do mundo

1 ano atrás

Golpes financeiros: mais de mil tentativas por hora, neste ano

Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…

2 anos atrás

‘Golpe do Auxílio Brasil’: mais de 140 mil tentativas em uma semana

Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…

2 anos atrás

Robô do PIX: perfis golpistas ‘dando dinheiro’ têm mais de 600 mil seguidores, aponta PSafe

Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…

2 anos atrás