0 Compartilhamentos 114 Views

ESET América Latina alerta sobre novo ataque por phishing, realizado principalmente no Brasil

13 de novembro de 2013

O Laboratório de Pesquisa da ESET América Latina descobriu essa semana um caso de phishing, envolvendo diversos bancos, cartões de crédito e informações de pessoas físicas e jurídicas. O ataque é realizado quando o usuário faz o download de um programa malicioso que redireciona a vítima para sites falsos. Todos os sites são do Brasil e estão em português.

A ameaça está se espalhando via e-mail, onde há um link que, quando clicado, leva o usuário para um site falso que é uma cópia idêntica de um site legítimo. No entanto, neste caso particular, o link envia ao usuário a uma aplicação maliciosa. Observa-se que o arquivo baixado tem um ícone de uma pasta, mas ele diz “Executar para exibir”, o que é contraditório, já que uma pasta não seria executável.

Contudo, os usuários são enganados pela opção do Windows “ocultar extensão de arquivo conhecido”, que é ativada por padrão e não permite que o usuário visualize que a pasta em questão, na verdade, é um arquivo com a extensão .exe, típica de arquivos executáveis. Quando o malware é executado, desencadeia uma série de ações que alteram as configurações de proxy do sistema.

Após a execução do malware, a configuração é feita automaticamente, através de um script armazenado em um arquivo no computador. Este arquivo contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais. Por exemplo : para ” * nome_banco * ” utilização ” dominio_proxy “. Dessa forma, cada vez que o usuário entra em uma URL em seu navegador para coincidir com os critérios definidos, o pedido é enviado para o proxy. Assim, se o usuário digitar um endereço que contém ” nome_banco ” em algum lugar , a aplicação irá passar pelo proxy.

Primeiro é realizado um pedido para o nome de domínio DNS pelo nome de domínio do proxy, e não do banco, onde o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. O que a ESET descobriu, na verdade, foi a existência de um intermediário de manipulação de solicitações de usuários.

A detecção para esta ameaça foi adicionada ao banco de dados de assinaturas na última terça-feira (05), sob o nome de Win32/ProxyChanger.LV. Os códigos maliciosos da família ProxyChanger prevalecem no Brasil muito mais que em qualquer outro lugar do mundo.

No browser dos usuários infectados pelo malware, o sie de um determinado banco é exibido assim...

No browser dos usuários infectados pelo malware, o sie de um determinado banco é exibido assim…

bancos-phishing-2

… enquanto, na verdade, deveria ser exibido assim.

Você pode se interessar

Como colocar seu jogo no Steam
Dicas
3 visualizações
Dicas
3 visualizações

Como colocar seu jogo no Steam

Carlos L. A. da Silva - 24 de julho de 2019

Vender seu jogo de computador na maior loja virtual do mundo é mais fácil do que você imagina.

De volta aos anos 80!
Artigos
4 visualizações
Artigos
4 visualizações

De volta aos anos 80!

Carlos L. A. da Silva - 22 de julho de 2019

Stranger Things puxou a nostalgia e a Microsoft entrou na brincadeira. Mas como era a tecnologia da informação naquela época?

Promoções de Jogos do Final de Semana (19/07)
Notícias
23 visualizações
Notícias
23 visualizações

Promoções de Jogos do Final de Semana (19/07)

Carlos L. A. da Silva - 19 de julho de 2019

Confira as melhores ofertas de jogos de PC para o final de semana.

Mais publicações

Como ativar o DNS-over-HTTPS (DoH) no Firefox
Dicas
15 visualizações
15 visualizações

Como ativar o DNS-over-HTTPS (DoH) no Firefox

Carlos L. A. da Silva - 18 de julho de 2019
SEO // Dicionário do Programador
Vídeos
18 visualizações
18 visualizações

SEO // Dicionário do Programador

Thais Cardoso de Mello - 15 de julho de 2019
Promoções de Jogos do Final de Semana (12/07)
Notícias
19 visualizações
19 visualizações

Promoções de Jogos do Final de Semana (12/07)

Carlos L. A. da Silva - 12 de julho de 2019