quinta-feira, 31 de maio de 2012

Alerta: trojan bancário se passa por instalador do Google Chrome

Uma nova ameaça dedicada ao roubo de dados bancários, o TSPY_Banker.EUIQ foi descoberto pelos pesquisadores da TrendLabs Brasil, laboratório da Trend Micro. Segundo a companhia, o malware atacou mais de três mil usuários nos últimos dias, a maior parte deles aqui no país.
A equipe de pesquisadores brasileiros encontrou algumas URLs suspeitas indicando caminhos não comuns para download do arquivo ChromeSetup.exe, que iludiam a vítima ao fazê-los acreditar que o arquivo estava hospedado em domínios como Facebook, Terra, Google, entre outros.
Algumas das URLs são (para sua segurança, não tente testá-las):
hxxp://br.msn.com/ChromeSetup.exe
hxxp://www.facebook.com.br/ChromeSetup.exe
hxxp://www.facebook.com/ChromeSetup.exe
hxxp://www.globo.com.br/ChromeSetup.exe
hxxp://www.google.com.br/ChromeSetup.exe
hxxp://www.terra.com.br/ChromeSetup.exe
A ação dos especialistas mostrou que os endereços estavam sendo manipulados por um malware bancário multi-modular, que utilizava uma abordagem inusitada para fazer o ataque. Ao acessar estas URLs, os usuários eram direcionados a outros endereços que não pertenciam aos domínios legítimos.
De acordo com Alberto Medeiros, especialista da Trend Micro, a ameaça age induzindo a vítima a realizar o download do seu módulo principal, o ChromeSetup.exe. "Após a infecção, o malware envia informações da máquina do usuário como IP, nome de host Windows da máquina, sistema operacional e versão para um servidor de C&C - Comando e Controle", explica.
Na sequência, a ameaça faz outro download, dessa vez de um arquivo que redireciona o acesso a páginas bancárias falsas sempre que o usuário tenta visitar sites bancários legítimos, apresentando sempre a seguinte mensagem:
Medeiros alerta para um detalhe importante que pode ajudar o usuário a identificar o malware. "A página falsa do banco apresenta um caractere sublinhado (como mostrado na tela baixo), no título da janela, antes do nome do banco, como pode ser observado nas imagens acima. Caso isso aconteça, o usuário não deve cadastrar seus dados e senhas. Outro ponto de atenção é o fato do redirecionamento que o malware realiza para o link utilizado pelos cibercriminosos. Sempre que for acessar contas bancárias, os usuários devem fazê-lo por meio de domínios válidos", finaliza. 
 
Fonte: http://www.administradores.com.br/informe-se/tecnologia/alerta-trojan-bancario-se-passa-por-instalador-do-google-chrome/55300/

Nenhum comentário:

Postar um comentário

Observação: somente um membro deste blog pode postar um comentário.