RAT: Criminosos invadem computador do usuário para desviar dinheiro

Nos últimos meses, o número de ataques utilizando RAT (Remote Administration Tool) tem crescido consideravelmente, com criminosos brasileiros utilizando o computador do usuário para aplicar golpes financeiros na internet.

O Laboratório de Análise de Riscos da PSafe se debruçou sobre o tema para explica-lo a você. Veja exemplos de informações enviadas ao servidor e dicas para se proteger contra o problema:

O ultimo parâmetro (2.2) é a versão do malware. Este, quando desatualizado, envia um comando ao servidor solicitando o update/atualização, perpetuando a ameaça no dispositivo infectado.

Após a inicialização e atualizado, o malware monitora os sites acessados. Quando o Internet Banking é aberto, ele envia notificação ao servidor com as informações da máquina contaminada e, também, as páginas acessadas pelo usuário.

Assim que o comando INICIARSCREEN é emitido pelo servidor, o malware começa a registrar screenshots das páginas acessadas em tempo real para o servidor, permitindo ao atacante visualizar e interagir com a máquina do usuário infectado.

Imagem enviada para o servidor

Como a fraude acontece

O malware possui suporte a diversos comandos, como:

• Solicitar Token
• Solicitar posição da tabela de senhas
• Solicitar senha de 6 e 8 dígitos
• Solicitar token do celular
• Forçar uso do Internet Explorer
• Enviar movimento de mouse
• Enviar comandos do teclado
• Bloquear tela
• Reiniciar computador

Com isso, ao identificar um acesso ao Internet Banking, o hacker começa a interagir com o usuário, solicitando as informações, como senha, tabela de senhas, token etc. Com estas informações em mãos, é possível realizar qualquer transação, e como a operação acontece no computador do usuário, este já liberado para uso do Internet Banking, as transações são permitidas.

Para evitar que o usuário perceba os movimentos do mouse e a utilização do Internet Banking pelo criminoso, no momento da transação é enviado um comando para congelar a tela do usuário e simular uma atualização do módulo de segurança, escondendo a ação que está sendo executada.

Durante a análise deste malware, o atacante detectou que uma máquina se registrou no servidor e iniciou o acesso. Ao verificar que era uma máquina virtual e que o código estava sendo analisado, ele enviou algumas mensagens:

Comandos enviados pelo atacante

O usuário sem proteção antivírus está vulnerável ao ataque RAT. Quem tem o PSafe Total Windows instalado no computador está protegido, já que o programa bloqueia este tipo de ameaça.