• Disseminação do Trojan Win32/Spy.Bancos.ACD Atinge Dois Bancos Brasileiros

    No último dia 07 de abril, a ESET divulgou que sua equipe de profissionais de segurança, detectou a prática fraudulenta identificada pelo antivírus da empresa, e que está sendo disseminada por meio de um Trojan identificado como Win32/Spy.Bancos.ACD. Quando este cavalo de tróia é executado na máquina do usuário, ele abre um navegador muito parecido com o popular Google Chrome. A abertura é feita diretamente na página de uma importante e renomada instituição financeira. Apesar do navegador ser falso, ele direciona o usuário ao site real da instituição bancária. O intuito principal desse golpe é monitorar e roubar os dados bancários, dados esses que correspondem ao número da agência, da conta, ao nome do titular e a senha eletrônica alfanumérica de oito dígitos. Para roubar a senha, o malware capta as posições do mouse do usuário através do teclado virtual.



    Armazenamento Dados Bancários, Interação com Home Banking e Similaridade com Google Chrome

    Na sequência do golpe, todos os dados bancários do usuário são armazenados pelo código malicioso, que as envia por meio de um arquivo comprimido para uma conta de e-mail, utilizando o Gmail. O navegador falso possui uma enorme similaridade com o Google Chrome e apesar dele simular uma tela tradicional, tem funções restritas e só permite a interação com o home banking. Além disso, os botões, como "atualizar", simplesmente não funcionam; e apesar de permitir que o usuário digite o endereço de outro site, ele não direciona para a página digitada.

    A segunda amostra do golpe identificada pelos pesquisadores da ESET, também voltada a uma grande instituição financeira brasileira, apresenta um comportamento bastante parecido com o anterior. De acordo com as considerações de Camillo Di Jorge, Country Manager da ESET Brasil, "os bancos brasileiros investem fortemente em controles de segurança diversos. Por conta disso, o roubo das credenciais de acesso bancário não é algo comum".

    No entanto, esses dois casos identificados pelos pesquisadores da ESET servem de alerta para os usuários desse tipo de serviço. Uma forma de proteger-se desse golpe, é ter uma solução de antivírus instalada no computador ou outro equipamento de acesso à Internet. É necessário também ficar atento na hora de informar os dados bancários. O usuário deve desconfiar se a página do banco estiver diferente do habitual, prestando atenção nos detalhes de forma minuciosa.


    Detalhes do Website são Preservados para não Levantar Suspeitas

    Muito diferente das ameaças comuns que roubam dados bancários, o trojan Win32/Spy.Bancos.ACD não leva o usuário a uma página falsa. Por isso, todos os detalhes do site permanecem intactos, inclusive a criptografia que é utilizada para validá-lo e protegê-lo, identificada pela sigla HTTPS na barra de endereços. Ao invés disso, os cybercriminosos criaram um navegador capaz de captar os movimentos do mouse, com a má intenção de gravar até mesmo os números digitados no teclado virtual, de modo que a segurança empregada por esse recurso acaba se tornando inválida. O passo seguinte consiste em verificar se o nome do titular da conta é o que aparece na tela e digitar a senha de oito dígitos. Nesse passo, o site permite que o cliente utilize um teclado virtual, e através do mesmo, a praga da vez, consegue captar as posições do mouse (se a vítima optar por usar esse método). Como foi mencionado anteriormente, o código malicioso rouba os dados de agência e conta, além do nome do titular.


    Descobrindo a Ilegitimidade do Navegador

    Apesar da ameaça real e da similaridade do navegador falso com o Google Chrome, o golpe pode ser percebido pelo usuário se ele tentar acessar outros sites usando o referido programa. Afinal de contas, o navegador é feito para abrir, exclusivamente, os sites dos bancos Santander e HSBC. Nesse caso, o botão de atualizar a página, por exemplo, vai funcionar normalmente.

    Dessa forma, para checar se o computador está infectado com esse malware, basta tentar acessar um site qualquer usando o Google Chrome: se a página abrir normalmente, tenha certeza que o programa é verdadeiro. De qualquer forma, caso algum comportamento estranho seja detectado, é recomendável atualizar o antivírus e realizar uma varredura completa no sistema, antes de acessar o site do seu banco através da Internet.


    Análise Referente à Amostra Win32/Spy.Bancos.ACD

    Ao analisar essa amostra, fica muito claro que um usuário desprotegido poder ser vítima de um roubo de dados bancários, mesmo com um processo de autenticação complexo e com diversas etapas de validação de dados. Por esse motivo, os pesquisadores da ESET recomendam, fortemente, a utilização de uma solução antivírus, e também observam que as ferramentas utilizadas para acessar o Internet Banking sejam utilizadas com precaução; caso as mesmas se diferenciem das habituais, é importante proceder com muita cautela.


    Saiba Mais:

    [1] ESET Virus Radar http://www.virusradar.com/en/Win32_S...CD/description