Os
pesquisadores da TrendLabs Brasil, laboratório da Trend Micro,
encontraram uma nova ameaça capaz de roubar dados bancários,
identificada como TSPY_Banker.EUIQ. O malware atacou mais de 3 mil
usuários nos últimos dias, a maioria brasileiros, e se espalha através
de domínios aparentemente legítimos, disfarçado de um instalador do
browser Google Chrome.As URLs incluem os domínios do Facebook, do Google, da Globo e do Terra. Conforme a empresa, os endereços estavam sendo manipulados por um malware bancário multi-modular, que utilizava uma abordagem inusitada para fazer o ataque - ao acessar estas URLs, os usuários eram direcionados a outros endereços que não pertenciam aos domínios legítimos.
De acordo com Alberto Medeiros, especialista da Trend Micro, a ameaça age induzindo a vítima a realizar o download do seu módulo principal, o ChromeSetup.exe. “Após a infecção, o malware envia informações da máquina do usuário como IP, nome de host Windows da máquina, sistema operacional e versão para um servidor de C&C - Comando e Controle”, explica.
Depois, o cavalo-de-troia faz outro download, dessa vez de um arquivo que redireciona o acesso a páginas bancárias falsas sempre que o usuário tenta visitar sites legítimos de bancos, apresentando sempre a seguinte mensagem:
Medeiros
alerta para um detalhe importante que pode ajudar o usuário a
identificar o malware. “A página falsa do banco apresenta um caractere
sublinhado, no título da janela, antes do nome do banco (como pode ser
observado nas imagens abaixo). Caso isso aconteça, o usuário não deve
cadastrar seus dados e senhas”.
“Outro ponto de atenção é o fato do redirecionamento que o malware realiza para o link utilizado pelos cibercriminosos: sempre que for acessar contas bancárias, os usuários devem fazê-lo por meio de domínios válidos”, finaliza o especialista.
Nenhum comentário:
Postar um comentário