Hackers criam tela falsa de bancos Itaú, Bradesco, Caixa e BB
Hackers criam tela falsa de bancos Itaú, Bradesco, Caixa e BB
28/03/2019 às 16:22

marcelo ferreira bispo

Olá sou Marcelo tenho 44 anos e formado em educação física e trabalho como redator freelance. Atualmente escrevo matéria de notícias gospel e tecnologia, politica, adoro fazer matéria para revistas digitais. Atualmente escrevo diversas matéria para esse site.

A empresa de cibersegurança Tempest está analisando um Malware bancário que tem como alvo as centrais instituições bancárias do Brasil, como Itaú, Santander, Bradesco, Caixa e Banco do Brasil. A ameaça, segundo a equipe de Threat Intelligence, se consiste na sobreposição da tela do Internet Banking para efetuar transações fraudulentas enquanto o usuário entra no site do banco.

Esta possui mecanismos de ocultação ilustres e usa um aplicativo compreensível para Windows possivelmente adulterado para carregar o malware

Ataque ‘simula’ telas do Itaú, Santander, Bradesco, Caixa e BB

Caso o usuário de internet banking esteja contagiado, assim que ele entra o serviço do banco, o cibercriminoso envia uma tela que sobrepõe a interface original do site sob a falsa desculpa de que é preciso instalar um módulo de segurança. “Nessa tela, o fraudador pode pedir quaisquer dados essenciais para a efetuação de uma transação fraudulenta em nome da vítima, geralmente o pagamento de boletos”, explica a Tempest.

A equipe de inteligência também corrige este ataque a uma campanha de Publishing massiva implicando mais de 120 mil vítimas na virada de 2018 para 2019 — mas, diferentemente daquela campanha, esta possui mecanismos de ocultação ilustres e usa um aplicativo legítimo para Windows possivelmente adulterado para carregar o malware.

Golpe

Phishing
O golpe inicia com um Publishing: caso você não saiba, phishing é um dos truques de ataque mais antigos, já que “metade do trabalho” é trair o usuário de computador ou smartphone. Como uma “pescaria”, o cibercriminoso envia um texto mostrando que você ganhou algum prêmio ou dinheiro (ou está devendo algum valor) e, normalmente, um link acompanhando para você solucionar a situação. A armadilha realiza quando você entra nesse link e “acredita” no que vê.

Assim que o usuário aperta no link, ele faz o download e ativa um arquivo que começa a realização de quatro scripts em cadeia, criados para fragmentar o ataque e torná-lo silencioso para as ferramentas de segurança”, explica a Tempest. “O primeiro script tem origem no arquivo original, é criado em VBScript e armazenado na pasta C:\users\public do computador da vítima. Este componente possui duas funções: a primeira é enviar um pedido ao servidor do fraudador para que este avalie uma nova vítima infectada – outro “contador” deste tipo foi achado. A segunda função desse script é efetuar outro VBScript a partir de um servidor na Internet controlada pelo fraudador. Pórem, esse pedido só é respondido  pelo servidor se for executado em um formato particular. Ao demarcar o formato de entendimento o fraudador insere mais uma camada de encobrimento à ameaça, pois, sua parte server só irá dar conhecimento com quem fizer o pedido no formato certo”.

Os cibercriminosos por trás do golpe também usam o WinGUp para ativar o malware. Foi possível provar pela checagem do hash dos arquivos que a versão da ferramenta que é abaixada nos computadores das vítimas é dessemelhante dos releases oficiais, o que pode ser uma prova de que o WinGup foi alterado ao fazer parte da ameaça. Com a ameaça ativa, o fraudador receberá uma mensagem assim que a vítima entrar em seu Internet Banking.

Somente um dos arquivos da ameaça era indicado como malicioso por uma dentre as 69 engines do Virus Total

Os pesquisadores da Tempest ainda tiveram entrada ao painel usado para avaliar dados de vítimas e operadores. De acordo com a equipe, há um contador de downloads, além do contador de atingidos citados anteriormente e estas interfaces também avisam a data e hora da execução de comandos, o servidor de comando e controle utilizado  em cada operação, o endereço IP do fraudador que operou o RAT, o nome do computador do operador, o endereço IP da vítima criptografado e a instituição financeira afetada.

Vale notar que, até o momento, apenas um dos arquivos da ameaça era proposto como malicioso por uma dentre as 69 engine do Virus Total e o painel contabilizava 2,8 mil vítimas que são correntistas de nove instituições financeiras.

Além de contar com uma boa ferramenta de segurança para ajudar na rotina, é essencial compreender como funcionam os phishing para não cair em golpes. Acompanhe esta matéria para mais esmiúces sobre isso.

marcelo ferreira bispo

Olá sou Marcelo tenho 44 anos e formado em educação física e trabalho como redator freelance. Atualmente escrevo matéria de notícias gospel e tecnologia, politica, adoro fazer matéria para revistas digitais. Atualmente escrevo diversas matéria para esse site.

More Posts

Deixe seu comentário