Nos últimos meses, o número de ataques utilizando RAT (Remote Administration Tool) tem crescido consideravelmente, com criminosos brasileiros utilizando o computador do usuário para aplicar golpes financeiros na internet.
O Laboratório de Análise de Riscos da PSafe se debruçou sobre o tema para explica-lo a você. Veja exemplos de informações enviadas ao servidor e dicas para se proteger contra o problema:
O ultimo parâmetro (2.2) é a versão do malware. Este, quando desatualizado, envia um comando ao servidor solicitando o update/atualização, perpetuando a ameaça no dispositivo infectado.
Após a inicialização e atualizado, o malware monitora os sites acessados. Quando o Internet Banking é aberto, ele envia notificação ao servidor com as informações da máquina contaminada e, também, as páginas acessadas pelo usuário.
Assim que o comando INICIARSCREEN é emitido pelo servidor, o malware começa a registrar screenshots das páginas acessadas em tempo real para o servidor, permitindo ao atacante visualizar e interagir com a máquina do usuário infectado.
Imagem enviada para o servidor
O malware possui suporte a diversos comandos, como:
Com isso, ao identificar um acesso ao Internet Banking, o hacker começa a interagir com o usuário, solicitando as informações, como senha, tabela de senhas, token etc. Com estas informações em mãos, é possível realizar qualquer transação, e como a operação acontece no computador do usuário, este já liberado para uso do Internet Banking, as transações são permitidas.
Para evitar que o usuário perceba os movimentos do mouse e a utilização do Internet Banking pelo criminoso, no momento da transação é enviado um comando para congelar a tela do usuário e simular uma atualização do módulo de segurança, escondendo a ação que está sendo executada.
Durante a análise deste malware, o atacante detectou que uma máquina se registrou no servidor e iniciou o acesso. Ao verificar que era uma máquina virtual e que o código estava sendo analisado, ele enviou algumas mensagens:
Comandos enviados pelo atacante
O usuário sem proteção antivírus está vulnerável ao ataque RAT. Quem tem o PSafe Total Windows instalado no computador está protegido, já que o programa bloqueia este tipo de ameaça.
"Golpe do @", o novo golpe descoberto com o dfndr security já tem mais de…
Empresa foi convidada a colaborar na construção do relatório “O impacto e futuro da Inteligência…
Conheça o novo golpe que se aproveita do maior evento esportivo do mundo
Modalidade de phishing se tornou a campeã de detecções em 2022, acumulando mais de 5…
Golpe do Auxílio, criminosos estão utilizando indevidamente o nome do programa e prometem transferência em…
Presente nas principais redes sociais, perfis do ‘Robô do PIX’ induzem pessoas a acessarem links…