rat-criminosos-invadem-computador-do-usuario-para-desviar-dinheiro

RAT: Criminosos invadem computador do usuário para desviar dinheiro

Veja como criminosos brasileiros conseguem acesso ao seu computador sem que você tome conhecimento

Nos últimos meses, o número de ataques utilizando RAT (Remote Administration Tool) tem crescido consideravelmente, com criminosos brasileiros utilizando o computador do usuário para aplicar golpes financeiros na internet. O Laboratório de Análise de Riscos da PSafe se debruçou sobre o tema para explica-lo a você. Veja exemplos de informações enviadas ao servidor e dicas para se proteger contra o problema:

rat1

O ultimo parâmetro (2.2) é a versão do malware. Este, quando desatualizado, envia um comando ao servidor solicitando o update/atualização, perpetuando a ameaça no dispositivo infectado.

rat2

Após a inicialização e atualizado, o malware monitora os sites acessados. Quando o Internet Banking é aberto, ele envia notificação ao servidor com as informações da máquina contaminada e, também, as páginas acessadas pelo usuário.

rat33

Assim que o comando INICIARSCREEN é emitido pelo servidor, o malware começa a registrar screenshots das páginas acessadas em tempo real para o servidor, permitindo ao atacante visualizar e interagir com a máquina do usuário infectado.

rat41

Imagem enviada para o servidor

Como a fraude acontece

O malware possui suporte a diversos comandos, como:

– Solicitar Token

– Solicitar posição da tabela de senhas

– Solicitar senha de 6 e 8 dígitos

– Solicitar token do celular

– Forçar uso do Internet Explorer

– Enviar movimento de mouse

– Enviar comandos do teclado

– Bloquear tela

– Reiniciar computador

Com isso, ao identificar um acesso ao Internet Banking, o hacker começa a interagir com o usuário, solicitando as informações, como senha, tabela de senhas, token etc. Com estas informações em mãos, é possível realizar qualquer transação, e como a operação acontece no computador do usuário, este já liberado para uso do Internet Banking, as transações são permitidas.

Para evitar que o usuário perceba os movimentos do mouse e a utilização do Internet Banking pelo criminoso, no momento da transação é enviado um comando para congelar a tela do usuário e simular uma atualização do módulo de segurança, escondendo a ação que está sendo executada.

rat5

rat61

rat7

Durante a análise deste malware, o atacante detectou que uma máquina se registrou no servidor e iniciou o acesso. Ao verificar que era uma máquina virtual e que o código estava sendo analisado, ele enviou algumas mensagens:

rat8

rat9

rat102

Comandos enviados pelo atacante

rat11

O usuário sem proteção antivírus está vulnerável ao ataque RAT. Quem tem o PSafe Total Windows instalado no computador está protegido, já que o programa bloqueia este tipo de ameaça.