Uma nova ameaça dedicada ao roubo de dados bancários, o
TSPY_Banker.EUIQ foi descoberto pelos pesquisadores da TrendLabs Brasil,
laboratório da Trend Micro. Segundo a companhia, o malware atacou mais
de três mil usuários nos últimos dias, a maior parte deles aqui no país.
A equipe de pesquisadores brasileiros encontrou algumas URLs
suspeitas indicando caminhos não comuns para download do arquivo
ChromeSetup.exe, que iludiam a vítima ao fazê-los acreditar que o
arquivo estava hospedado em domínios como Facebook, Terra, Google, entre
outros.
Algumas das URLs são (para sua segurança, não tente testá-las):
hxxp://br.msn.com/ChromeSetup.exe
hxxp://www.facebook.com.br/ChromeSetup.exe
hxxp://www.facebook.com/ChromeSetup.exe
hxxp://www.globo.com.br/ChromeSetup.exe
hxxp://www.facebook.com.br/ChromeSetup.exe
hxxp://www.facebook.com/ChromeSetup.exe
hxxp://www.globo.com.br/ChromeSetup.exe
hxxp://www.google.com.br/ChromeSetup.exe
hxxp://www.terra.com.br/ChromeSetup.exe
hxxp://www.terra.com.br/ChromeSetup.exe
A ação dos especialistas mostrou que os endereços estavam sendo
manipulados por um malware bancário multi-modular, que utilizava uma
abordagem inusitada para fazer o ataque. Ao acessar estas URLs, os
usuários eram direcionados a outros endereços que não pertenciam aos
domínios legítimos.
De acordo com Alberto Medeiros, especialista da Trend Micro, a ameaça
age induzindo a vítima a realizar o download do seu módulo principal, o
ChromeSetup.exe. "Após a infecção, o malware envia informações da
máquina do usuário como IP, nome de host Windows da máquina, sistema
operacional e versão para um servidor de C&C - Comando e Controle",
explica.
Na sequência, a ameaça faz outro download, dessa vez de um arquivo
que redireciona o acesso a páginas bancárias falsas sempre que o usuário
tenta visitar sites bancários legítimos, apresentando sempre a seguinte
mensagem:
Medeiros alerta para um detalhe importante que pode ajudar o usuário a
identificar o malware. "A página falsa do banco apresenta um caractere
sublinhado (como mostrado na tela baixo), no título da janela, antes do
nome do banco, como pode ser observado nas imagens acima. Caso isso
aconteça, o usuário não deve cadastrar seus dados e senhas. Outro ponto
de atenção é o fato do redirecionamento que o malware realiza para o
link utilizado pelos cibercriminosos. Sempre que for acessar contas
bancárias, os usuários devem fazê-lo por meio de domínios válidos",
finaliza.
Fonte: http://www.administradores.com.br/informe-se/tecnologia/alerta-trojan-bancario-se-passa-por-instalador-do-google-chrome/55300/
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.