Spy Banker domina navegadores e infecta sites no Brasil

Há exatos oito meses, publicamos aqui no Blog análise da equipe de segurança da PSafe sobre o malware bancário Bolware. Naquela época, a ameaça estava no centro da discussão sobre segurança digital e respondia por grande parte dos ataques no Brasil.

O cenário não mudou muito e o Bolware mantém protagonismo no campo malicioso, porém cada vez mais trojans bancários são utilizados e circulam pela internet com objetivo de desviar dinheiro de usuários de Internet Banking no País. Conheça mais sobre o Spy Banker.

Como o Trojan Bancário infecta computadores

O malware chega até a sua máquina por meio de arquivos infectados, conexão wi-fi não segura, visita a sites hospedeiros da ameaça e acesso a servidores de internet que tiveram suas barreiras de segurança comprometidas. Depois, toma o controle do seu navegador de internet e passa a monitorar toda a sua atividade online.

Mas todos os navegadores estão vulneráveis ao problema? A resposta é sim. Porém, o trojan bancário age com maior liberdade para monitorar toda sua ação virtual no Internet Explorer. Para isso, busca impedir o acesso a bancos por navegadores seguros ou mais robustos, induzindo à utilização do IE para então conseguir ter acesso aos seus dados e informações bancários com mais facilidade.

Como o malware vigia seu acesso bancário

Por meio de keylogger e screenshots (prints de tela), o trojan bancário captura todas as suas informações bancárias informadas no navegador, como login e senhas de acesso, além de chaves de segurança, funcionando assim:

1. O malware se instala no computador por meio de arquivos infectados, acessos wi-fi inseguros e por meio de visitas a sites e servidores de internet infectados pela ameaça;
2. O usuário de Internet Banking digita o site de algum banco no seu navegador padrão de internet;
3. O malware reconhece o endereço online bancário e inicia monitoramento da atividade do usuário;
4. Caso o internauta utilize um navegador de internet seguro, como o PSafe Internet, ou navegadores mais robustos, como Google Chrome ou Firefox, o malware emite alerta falso e abre uma nova tela informando ser impossível acessar o banco desde aquele navegador, recomendando o uso do Internet Explorer;
5. O usuário impedido de acessar seu banco busca fazê-lo via Internet Explorer, instalado por padrão em todas as máquinas Windows, abrindo espaço para a vigilância de sua atividade virtual no navegador e site do banco;
6. O Keylogger entra em funcionamento e prints de tela começam a ser tirados para acompanhar o que o usuário digita no teclado e, também, o que aparece na tela do computador;
7. Todas as informações recolhidas são enviadas para um servidor malicioso e passam a formar um banco de dados completo para utilização criminosa e desvio de dinheiro das contas destes usuários infectados;
8. Hackers utilizam as informações e aplicam golpes financeiros na Internet;
9. Bancos descobrem contas hackeadas e bloqueiam todos os serviços bancários online do usuário. Com isso, ele tem que procurar sua agência e recadastrar suas credenciais de acesso ao Internet Banking;
10. Os dados coletados ficam desatualizados e os criminosos ficam impedidos de agir.

Os bancos não informam ao usuário que ele foi infectado pelo trojan bancário Spy Banker, mas exigem atualização cadastral impedindo acesso de terceiros e hackers às suas contas, “eliminando” o problema.

A ameaça não trafega apenas por e-mail, ela também afeta servidores de internet e já circula por pelo menos 14 sites brasileiros, ampliando as possibilidades de alcance do novo malware por visitação a estes sites, já que os criminosos têm o endereço e a senha do servidor do site e podem utilizá-los para fins maliciosos. Uma rede de TV e um grande varejista brasileiro estão vulneráveis e não têm conhecimento do caso.

A PSafe já alertou entidades bancárias sobre o problema e acompanha de perto o aumento das infecções por este novo trojan bancário no Brasil, e recomenda:

1. Utilize um navegador de internet seguro ou mais robusto que o Internet Explorer, ele apresenta problemas e vulnerabilidades que não podem ser facilmente corrigidos;
2. Se tentar entrar no Internet Banking via navegador de internet seguro ou robusto e receber este alerta de impossibilidade de acesso ao banco via browser aberto, desconfie;
3. Caso receba indicação para acessar a conta bancária via IE, tente novamente com o seu navegador preferido desde outro computador;
4. Instale o PSafe Total Windows no seu computador. Ele bloqueia o Bolware e o Spy Banker e remove estas ameaças do seu navegador.