Malware analisado pela PSafe rouba senhas de banco, FTP e e-mail

O Spy Banker é um malware responsável por roubar senhas de usuários de Internet Banking, e neste caso específico, além de roubar acessos bancários, também registra senhas de FTPs e de contas de e-mails.

A propagação desde malware se dá por meio de ações de phishing e-mail (e-mails com links para download da ameaça), mensagens que utilizam descrições bem atrativas para enganar o usuário e induzi-lo a clicar no link malicioso, muitas vezes com ofertas ou alertas de segurança falsos.

Um usuário infectado pode servir de ponte para novas infecções. Por exemplo, se o atacante consegue acesso ao e-mail de um usuário ou de algum endereço FTP, ele o utiliza para disparar o malware a outros usuários de internet, aumentando a propagação da ameaça.

Com acesso ao FTP, o atacante pode fazer upload do malware no ambiente interno da empresa, hospedando a ameaça digital em questão no local, que passa a ser distribuída à rede de computadores conectada ao servidor.

O passo a passo da infecção

A execução do arquivo malicioso Spy Banker gera um processo que realiza o download de outro malware no computador do usuário, este mais robusto e capaz de capturar informações de hardware e e-mails, iniciando a replicação da ameaça.

O primeiro malware tem tamanho menor que o segundo para que seja baixado para a máquina do usuário de forma mais rápida, aumentando as taxas de sucesso de infecção. Este malware depois de instalado baixa um segundo malware de tamanho maior, com recursos mais sofisticados.

O download do segundo malware, replicador da ameaça, é realizado em background, sem que o usuário perceba a ação e, mesmo que o processo seja interrompido por algum problema de conexão, por exemplo, o primeiro malware (de tamanho reduzido), sempre tentará baixá-lo novamente, até que tenha sucesso.

O segundo malware, mais robusto, é o responsável por capturar informações de e-mail e SMTP, com intenção de propagar o malware espião.  Ele também acessa informações de hardware da máquina para que possa cloná-la, como podemos ver no código abaixo:

A clonagem é necessária para que os criminosos possam realizar as transações financeiras bancárias de posse dos dados de login e senha do usuário infectado, já que muitos bancos exigem o cadastramento dos computadores que podem acessar a conta bancária.

Como age o Spy Banker

Depois de infectar a máquina ou PC com o Spy Banker, tem início as tentativas de captura das informações de contas do usuário, como senha e login. Neste caso, o malware age assim:

1° Malware

Ele é o responsável por verificar em qual browser o usuário esta acessando o site do banco.

1. Ao tentar acessar a conta bancária via Chrome ou Firefox, é exibida a mensagem abaixo ao usuário infectado:

2. Caso o usuário marque ‘OK’, o browser é fechado e o site do banco digitado é aberto no Internet Explorer.

O mesmo acontece se o usuário fechar a caixa de diálogo ou apertar a tecla ‘ESC’ do computador.

3. A partir desse ponto toda a operação bancaria realizada pelo usuário está sendo monitorada.

4. O criminoso tem acesso ao login, senha e chave de segurança bancários por meio de captura das informações fornecidas e screenshots.

5. O usuário não consegue minimizar a janela do browser, ela fica “pulando” na tela a todo momento.

6. O usuário fica vulnerável.

2º malware

Após instalado no computador, o Spy Banker baixa outro malware no PC, que iniciará a replicação da ameaça espião para outras máquinas.

A PSafe monitorou atividade deste Spy Banker e descobriu que os criminosos enviavam as informações de acesso às contas para um servidor malicioso, criando um banco de dados que estaria à disposição do crime.

Ao menos 14 empresas brasileiras foram infectadas com o malware. Todas já foram avisadas pela PSafe para trocarem suas informações de acesso, como login e senhas, além de recomendações para fazerem uma varredura por vírus e ameaças digitais nos seus sistemas internos.

Lista de empresas afetadas pelo Spy Banker

Por medidas de segurança e privacidade, a PSafe não divulga o nome destas empresas, apesar de já ter feito contato com todas elas para que ficassem cientes da ameaça e vulnerabilidade dos seus dados. A seguir, uma lista de atuação destas empresas:

  1. Grande varejista brasileiro, com atividade no exterior.
  2. Importante canal de televisão nacional.
  3. 29 endereços de FTP.
  4. 1.952 contas de e-mail.

O dfndr security é capaz de reconhecer, bloquear e eliminar a ameaça Spy Banker. Por isso, recomenda a todos os usuários de internet no País fazerem a verificação por vírus e malwares ao menos uma vez por semana em suas máquinas e dispositivos eletrônicos.

Abaixo, algumas strings utilizadas pelo malware:

Com essas informações, conseguimos identificar quais os alvos do malware, entre eles usuários de muitos bancos que atuam no Brasil e navegadores de internet, como:

  1. Caixa Econômica Federal
  2. Banco Bradesco
  3. Banco do Brasil
  4. Banco Itaú
  5. Banco Santander
  6. Sicredi
  7. Mozilla Firefox
  8. Internet Explorer
  9. Etc.

 

Posts Recentes

Por que atualizar o Android ajuda a proteger seu celular, mesmo quando nada parece mudar?

Você já adiou uma atualização do Android porque achou que nada mudaria no celular? A…

Nome de usuário no WhatsApp: como o novo @ muda sua forma de se conectar

Você usaria um @ no WhatsApp em vez de compartilhar seu número de telefone? O…

Trocar de Senha Toda Semana Deixa Minha Conta Mais Segura?

Você já ouviu que trocar de senha toda semana é uma forma de deixar suas…

O que acontece quando você aperta ‘Permitir’ em um aplicativo?

Você instala um aplicativo novo, abre pela primeira vez e a tela aparece: “Permitir acesso…

O que revisar no seu celular uma vez por mês ? (e leva 5 minutos)

Você desbloqueia o celular para responder uma mensagem rápida e, sem perceber, passa por vários…

O que acontece com seus dados depois que você fecha um aplicativo?

Você abre um aplicativo para pedir comida, conferir o saldo da conta, conversar com amigos…