• Brasil é Alvo Chave de Ataques do Malware ProxyCharger

    No decorrer desta semana, o Laboratório de Pesquisa da ESET América Latina recebeu um caso de phishing, envolvendo vários bancos, cartões de crédito e até mesmo informações relacionadas à pessoas físicas e jurídicas. O ataque é realizado quando o usuário faz o download de um programa malicioso, que redireciona a vítima para sites falsos, todos do Brasil e no idioma português. Antes de roubar informações, os cibercriminosos devem encontrar uma maneira de disseminar o seu ataque. Afinal, se a ameaça não atinge nenhum usuário, é como se ele não tivesse existido.


    Neste sentido, é muito comum ver em ataques de phishing que o principal meio de propagação é através do uso de e-mails: neles, há um link que, ao ser clicado, leva o usuário para um site falso que é uma cópia idêntica de um site original. No entanto, neste caso particular, o link envia o usuário a uma aplicação maliciosa. Além disso, observa-se que o arquivo baixado tem um ícone de uma pasta, mas ele mostra "Executar para exibir", o que é muito contraditório, porque se fosse uma pasta, ele não seria um executável.


    Alteração de Configuração de Proxy do Sistema

    Mas, na realidade, esse arquivo é executável e usa a opção do Windows "ocultar extensão de arquivo conhecido", que é ativada por padrão, automaticamente. Quando executado, ele desencadeia uma série de ações que alteram as configurações de proxy do sistema, e logo em seguida, ao acessar a configuração, é possível notar que houve uma mudança "mágica". Após a execução do malware, a configuração é feita automaticamente por um script armazenado em um arquivo no computador.

    Este arquivo contém um conjunto de regras para um grande número de bancos brasileiros e multinacionais. Por exemplo: para "*nome_banco *" utilização "dominio_proxy". Portanto, cada vez que o usuário entra em uma URL em seu navegador, que coincida com os critérios definidos, o pedido é enviado para o proxy. Dessa forma, se o usuário digitar um endereço que contenha "nome_banco" em algum lugar, a aplicação irá passar pelo proxy.

    A partir da observação dessas expressões utilizadas, foi possível notar que os cibercriminosos pretendem agir contra bancos, provedores de cartão de crédito e serviços de informação, e veículo pessoal. Todas as vezes que o usuário tentar visitar um desses sites, o proxy vai intervir, encaminhando para uma versão falsa do site:

    Em primeiro lugar, será realizado um pedido para o nome de domínio DNS pelo domínio do proxy, e não do banco, onde o endereço de proxy é 91.x.x24. Uma vez que o nome tenha sido descoberto, o pedido é feito para a página de proxy, e ele é devolvido com êxito. Em face disso, foi descoberta a existência de um intermediário de manipulação de solicitações de usuários.

    Sempre que são realizados ataques de phishing, o site falso se parece exatamente com o legítimo, mas, neste caso, parece que a versão do site do banco que foi copiada pelos cibercriminosos, é antiga. O site é obtido na máquina do usuário infectado.

    Dessa forma, é possível perceber que no caso de um usuário infectado, a URL introduzida na barra de endereço está correta, mas a página exibida no navegador não está. Em muitos ataques de phishing, o mais comum é que a URL acessada não seja correta, o que pode ser visto na barra de endereços, mas, em uma situação como esta, o usuário não pode fazer uso desta observação para evitar o ataque. A detecção para esta ameaça foi adicionada ao banco de dados de assinaturas na última terça-feira, dia 05 de novembro, sob o nome de Win32/ProxyChanger.LV. Os códigos maliciosos da família ProxyChanger prevalecem no Brasil muito mais que em qualquer outro lugar do mundo. Assim, por meio dos dados divulgados no mês passado, pode-se notar como o Brasil é o país mais infectado por pragas cibernéticas.

    De forma resumida, este código malicioso ataca os usuários brasileiros e pretende roubar informações pessoais para acessar sistemas bancários ou bancos de dados, para ter acesso às informações das pessoas. Tudo o que foi descrito até agora, poderia não ter acontecido se o usuário utilizasse uma solução de segurança em seu computador. Neste caso, no momento das tentativas de download da ameaça, ela seria bloqueada e eliminada pelo produto, afirma Matías Porolli, Especialista de Awareness & Research.


    ESET Oferecendo Segurança Desde 1992

    Fundada em 1992, a ESET é uma fornecedora global de soluções de segurança, que provê proteção de última geração contra ameaças virtuais. A empresa está sediada na cidade de Bratislava (Eslováquia), com centros de distribuição regionais em San Diego (Estados Unidos), Buenos Aires (Argentina) e Singapura, e com escritórios em São Paulo (Brasil), Cidade do México (México), Praga (República Checa) e Jena (Alemanha). A ESET conta ainda com Centros de Pesquisa em nove países, e com uma ampla rede de parceiros em mais de 180 localidades.

    Desde 2004, a ESET opera na América Latina, a partir de Buenos Aires, onde conta com uma equipe de profissionais capacitados a responder às demandas do mercado local. Tudo isso de forma rápida e eficiente, a partir de um Laboratório de Pesquisa focado na investigação e nos processos de descoberta proativa de várias ameaças virtuais.


    ESET NOD32 Antivírus

    Além de seu produto mais conhecido, o ESET NOD32 Antivírus, em vigor desde 2007, a ESET oferece o ESET Smart Security, uma solução unificada que utiliza a multipremiada proteção proativa. As soluções ESET oferecem aos clientes corporativos o maior retorno sobre investimento (ROI) da indústria, ao garantir uma alta taxa de produtividade, velocidade de exploração e um uso mínimo de recursos.


    Saiba Mais:

    [1] OverBr http://overbr.com.br/brasil-tem-nova...-proxycharger/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L