Já foram reportados vários casos de phishing com geolocalização e outros casos de códigos maliciosos direcionados a usuários brasileiros. Recentemente, detectamos um novo trojan que afeta aos usuários de instituições financeiras no Brasil.
O código malicioso é detectado pelas soluções de detecção proativa da ESET como Win32/Spy.Banker.YJS trojan. Assim que é executado na máquina do usuário, o malware cria um arquivo na pasta System32, iniciando um processo que é executado e espera que o usuário acesse a página do banco na Internet:
Se o usuário inserir a página de seu banco utilizando um navegador diferente no Internet Explorer, este automaticamente fecha e mostra um aviso para que se utilize o navegador mencionado. Este comportamento pode ser um sinal de alerta para o usuário, já que se antes o banco permitia a utilização de diferentes navegadores para o acesso, não é normal que restrinja o uso a um só navegador em particular.
Uma vez que o usuário insere os dados de sua conta, o código malicioso inicia a captura da informação. Toda essa captura é feita simulando uma página do banco, mas sem gerar tráfego de rede. Nesse ponto, novamente há um alerta para o usuário: apesar de estar lidando com informações sensíveis, a conexão utilizada não está criptografada, o que não é normal em uma conexão de confiança como a que se estabelece com as entidades financeiras. Isto é detectado facilmente ao observar a barra de endereço do navegador e descobrir que não se está utilizando o protocolo seguro https://.
Se o usuário continua inserindo sua informação pessoal, além de pedir os dados de seu cartão, também pede para inserir dados pessoais como números de identificação e de confirmação pessoal; chegando a um ponto em que o código malicioso simula um teclado virtual onde deve ser inserida a senha associada com a conta. Tudo isso se faz simulando as páginas do banco, mas novamente há alertas que poderiam levantar a suspeita de haver algo errado. Ao clicar nos ícones de ajuda não aparece nenhuma informação, o que seria habitual na página original de uma entidade financeira:
Finalmente uma vez que o usuário inseriu toda sua informação na página falsa, o código malicioso envia um e-mail ao atacante com um resumo de toda a informação inserida: senhas, números de conta e números de identificação. Além disso, ocorre a captura de informação do computador a partir do momento em que o usuário se conectou à Internet:
Algo particular deste código malicioso é que utiliza um certificado eletrônico roubado, da Comodo, uma entidade certificadora real, como se pode observar nas capturas a seguir.
Esta característica faz com que o código malicioso possa se propagar por servidores de correio e sistemas sem que seja detectado por muitas ferramentas de segurança. Além de contar com a solução de segurança podemos ter em conta práticas de boa navegação realizar transações seguras na Internet.
Fernando Catoira, Analista de Segurança
H. Camilo Gutiérrez Amaya, Especialista de Awareness & Research