Neste sentido, é muito comum ver em ataques de phishing que o principal meio de propagação é através do uso de e-mails: neles, há um link que, ao ser clicado, leva o usuário para um site falso que é uma cópia idêntica de um site original. No entanto, neste caso particular, o link envia o usuário a uma aplicação maliciosa. Além disso, observa-se que o arquivo baixado tem um ícone de uma pasta, mas ele mostra "Executar para exibir", o que é muito contraditório, porque se fosse uma pasta, ele não seria um executável.
Alteração de Configuração de Proxy do Sistema
Mas, na realidade, esse arquivo é executável e usa a opção do Windows "ocultar extensão de arquivo conhecido", que é ativada por padrão, automaticamente. Quando executado, ele desencadeia uma série de ações que alteram as configurações de proxy do sistema, e logo em seguida, ao acessar a configuração, é possível notar que houve uma mudança "mágica". Após a execução do malware, a configuração é feita automaticamente por um script armazenado em um arquivo no computador.
Este arquivo contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais. Por exemplo: para "*nome_banco *" utilização "dominio_proxy". Portanto, cada vez que o usuário entra em uma URL em seu navegador, que coincida com os critérios definidos, o pedido é enviado para o proxy. Dessa forma, se o usuário digitar um endereço que contenha "nome_banco" em algum lugar, a aplicação irá passar pelo proxy.
A partir da observação dessas expressões utilizadas, foi possível notar que os cibercriminosos pretendem agir contra bancos, provedores de cartão de crédito e serviços de informação, e veículo pessoal. Todas as vezes que o usuário tentar visitar um desses sites, o proxy vai intervir, encaminhando para uma versão falsa do site:
Em primeiro lugar, será realizado um pedido para o nome de domínio DNS pelo domínio do proxy, e não do banco, onde o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. Em face disso, foi descoberta a existência de um intermediário de manipulação de solicitações de usuários.
Sempre que são realizados ataques de phishing, o site falso se parece exatamente com o legítimo, mas, neste caso, parece que a versão do site do banco que foi copiada pelos cibercriminosos, é antiga. O site é obtido na máquina do usuário infectado.
Dessa forma, é possível perceber que no caso de um usuário infectado, a URL introduzida na barra de endereço está correta, mas a página exibida no navegador não está. Em muitos ataques de phishing, o mais comum é que a URL acessada não seja correta, o que pode ser visto na barra de endereços, mas, em uma situação como esta, o usuário não pode fazer uso desta observação para evitar o ataque. A detecção para esta ameaça foi adicionada ao banco de dados de assinaturas na última terça-feira, dia 05 de novembro, sob o nome de Win32/ProxyChanger.LV. Os códigos maliciosos da família ProxyChanger prevalecem no Brasil muito mais que em qualquer outro lugar do mundo. Assim, por meio dos dados divulgados no mês passado, pode-se notar como o Brasil é o país mais infectado por pragas cibernéticas.
De forma resumida, este código malicioso ataca os usuários brasileiros e pretende roubar informações pessoais para acessar sistemas bancários ou bancos de dados, para ter acesso às informações das pessoas. Tudo o que foi descrito até agora, poderia não ter acontecido se o usuário utilizasse uma solução de segurança em seu computador. Neste caso, no momento das tentativas de download da ameaça, ela seria bloqueada e eliminada pelo produto, afirma Matías Porolli, Especialista de Awareness & Research.
ESET Oferecendo Segurança Desde 1992
Fundada em 1992, a ESET é uma fornecedora global de soluções de segurança, que provê proteção de última geração contra ameaças virtuais. A empresa está sediada na cidade de Bratislava (Eslováquia), com centros de distribuição regionais em San Diego (Estados Unidos), Buenos Aires (Argentina) e Singapura, e com escritórios em São Paulo (Brasil), Cidade do México (México), Praga (República Checa) e Jena (Alemanha). A ESET conta ainda com Centros de Pesquisa em nove países, e com uma ampla rede de parceiros em mais de 180 localidades.
Desde 2004, a ESET opera na América Latina, a partir de Buenos Aires, onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local. Tudo isso de forma rápida e eficiente, a partir de um Laboratório de Pesquisa focado na investigação e nos processos de descoberta proativa de várias ameaças virtuais.
ESET NOD32 Antivírus
Além de seu produto mais conhecido, o ESET NOD32 Antivírus, em vigor desde 2007, a ESET oferece o ESET Smart Security, uma solução unificada que utiliza a multipremiada proteção proativa. As soluções ESET oferecem aos clientes corporativos o maior retorno sobre investimento (ROI) da indústria, ao garantir uma alta taxa de produtividade, velocidade de exploração e um uso mínimo de recursos.
Saiba Mais:
[1] OverBr http://overbr.com.br/brasil-tem-nova...-proxycharger/