O Laboratório de Pesquisa da ESET América Latina descobriu essa semana um caso de phishing, envolvendo diversos bancos, cartões de crédito e informações de pessoas físicas e jurídicas. O ataque é realizado quando o usuário faz o download de um programa malicioso que redireciona a vítima para sites falsos. Todos os sites são do Brasil e estão em português.
A ameaça está se espalhando via e-mail, onde há um link que, quando clicado, leva o usuário para um site falso que é uma cópia idêntica de um site legítimo. No entanto, neste caso particular, o link envia ao usuário a uma aplicação maliciosa. Observa-se que o arquivo baixado tem um ícone de uma pasta, mas ele diz “Executar para exibir”, o que é contraditório, já que uma pasta não seria executável.
Contudo, os usuários são enganados pela opção do Windows “ocultar extensão de arquivo conhecido”, que é ativada por padrão e não permite que o usuário visualize que a pasta em questão, na verdade, é um arquivo com a extensão .exe, típica de arquivos executáveis. Quando o malware é executado, desencadeia uma série de ações que alteram as configurações de proxy do sistema.
Após a execução do malware, a configuração é feita automaticamente, através de um script armazenado em um arquivo no computador. Este arquivo contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais. Por exemplo : para ” * nome_banco * ” utilização ” dominio_proxy “. Dessa forma, cada vez que o usuário entra em uma URL em seu navegador para coincidir com os critérios definidos, o pedido é enviado para o proxy. Assim, se o usuário digitar um endereço que contém ” nome_banco ” em algum lugar , a aplicação irá passar pelo proxy.
Primeiro é realizado um pedido para o nome de domínio DNS pelo nome de domínio do proxy, e não do banco, onde o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. O que a ESET descobriu, na verdade, foi a existência de um intermediário de manipulação de solicitações de usuários.
A detecção para esta ameaça foi adicionada ao banco de dados de assinaturas na última terça-feira (05), sob o nome de Win32/ProxyChanger.LV. Os códigos maliciosos da família ProxyChanger prevalecem no Brasil muito mais que em qualquer outro lugar do mundo.
