Os e-mails são um dos principais meios de propagação para os códigos maliciosos. Nesse texto, comentamos um ataque direcionado a clientes de Internet banking, através de um suposto software de segurança para realizar suas transações. Nesse tipo de ataque, o usuário baixa uma suposta aplicação de segurança, que na realidade rouba sua informação.

O ataque começa com envio de e-mails de maneira massiva, a partir de uma conta falsa, associada à instituição bancária, no corpo do e-mail se encontra uma imagem que contém um link de download do código malicioso:

O texto que acompanha o link faz uso de engenharia social, não somente com as cores da instituição, mas também com o texto utilizado, que alerta ao usuário sobre a obrigatoriedade da atualização ser feita dentro de um prazo de 48 horas, sendo a conta de home banking suspensa caso contrário.

Quando um usuário é vítima desse ataque e baixa o aplicativo, na realidade não está instalando um software de segurança, sendo que se trata de um cavalo de troia, detectado pelo ESET NOD32 Antivirus como Win3/Spy.Banker.

Ao executar esta ameaça, se apresenta uma interface gráfica que solicita os dados do usuário, de maneira similar ao acesso através da página oficial:

Contudo, enquanto o usuário acredita que está acessando seu banco online, toda informação que venha a inserir na tela está sendo armazenada para ser enviada ao criminoso responsável pelo golpe. No decorrer da execução do código malicioso são coletados diferentes dados, para que possa acessar também as informações pessoais do usuário

Assim que o usuário insere suas credenciais de acesso, passa a uma segunda tela, onde deve selecionar quais são suas contas e iniciar sessão através de uma senha:

Uma vez que o usuário insere toda sua informação bancária relacionada às suas contas, são solicitados dados pessoais para sua identificação entre as quais se destacam:

•    Nome dos pais
•    Data de nascimento
•    RG
•    CPF
•    Senha do cartão de débito
•    Senha telefônica

Assim que o usuário insere os dados, eles são reenviados através de um e-mail do Gmail, como podemos ver na imagem a seguir:

Esse tipo de ataque contra usuários de Internet banking é comum e busca enganar os que não dão atenção às medidas de segurança, ou não contam com uma solução antivírus com capacidade de detecção proativa, e acabam tendo seus dados roubados.

Certas instituições bancárias oferecem aplicativos de segurança para verificar que o usuário está utilizando uma conexão segura ou acessando o site oficial, mas elas se encontram disponíveis nas páginas dos bancos, e não são enviadas através de e-mails. Caso receba essas mensagens falsas, é recomendável reporta-las com o objetivo de alertar as demais pessoas.

Pablo Ramos
Especialista de Awarenes & Research