Cibersegurança

RAT: Criminosos invadem computador do usuário para desviar dinheiro

Nos últimos meses, o número de ataques utilizando RAT (Remote Administration Tool) tem crescido consideravelmente, com criminosos brasileiros utilizando o computador do usuário para aplicar golpes financeiros na internet.

O Laboratório de Análise de Riscos da PSafe se debruçou sobre o tema para explica-lo a você. Veja exemplos de informações enviadas ao servidor e dicas para se proteger contra o problema:

O ultimo parâmetro (2.2) é a versão do malware. Este, quando desatualizado, envia um comando ao servidor solicitando o update/atualização, perpetuando a ameaça no dispositivo infectado.

Após a inicialização e atualizado, o malware monitora os sites acessados. Quando o Internet Banking é aberto, ele envia notificação ao servidor com as informações da máquina contaminada e, também, as páginas acessadas pelo usuário.

Assim que o comando INICIARSCREEN é emitido pelo servidor, o malware começa a registrar screenshots das páginas acessadas em tempo real para o servidor, permitindo ao atacante visualizar e interagir com a máquina do usuário infectado.

Imagem enviada para o servidor

Como a fraude acontece

O malware possui suporte a diversos comandos, como:

  • Solicitar Token
  • Solicitar posição da tabela de senhas
  • Solicitar senha de 6 e 8 dígitos
  • Solicitar token do celular
  • Forçar uso do Internet Explorer
  • Enviar movimento de mouse
  • Enviar comandos do teclado
  • Bloquear tela
  • Reiniciar computador

Com isso, ao identificar um acesso ao Internet Banking, o hacker começa a interagir com o usuário, solicitando as informações, como senha, tabela de senhas, token etc. Com estas informações em mãos, é possível realizar qualquer transação, e como a operação acontece no computador do usuário, este já liberado para uso do Internet Banking, as transações são permitidas.

Para evitar que o usuário perceba os movimentos do mouse e a utilização do Internet Banking pelo criminoso, no momento da transação é enviado um comando para congelar a tela do usuário e simular uma atualização do módulo de segurança, escondendo a ação que está sendo executada.

Durante a análise deste malware, o atacante detectou que uma máquina se registrou no servidor e iniciou o acesso. Ao verificar que era uma máquina virtual e que o código estava sendo analisado, ele enviou algumas mensagens:

Comandos enviados pelo atacante

O usuário sem proteção antivírus está vulnerável ao ataque RAT. Quem tem o PSafe Total Windows instalado no computador está protegido, já que o programa bloqueia este tipo de ameaça.

Posts Recentes

Seu celular realmente escuta suas conversas para mostrar anúncios? Mito ou Verdade

Você comenta sobre uma viagem, um tênis ou um restaurante e, pouco depois, aparece um…

Por que atualizar o Android ajuda a proteger seu celular, mesmo quando nada parece mudar?

Você já adiou uma atualização do Android porque achou que nada mudaria no celular? A…

Nome de usuário no WhatsApp: como o novo @ muda sua forma de se conectar

Você usaria um @ no WhatsApp em vez de compartilhar seu número de telefone? O…

Trocar de Senha Toda Semana Deixa Minha Conta Mais Segura?

Você já ouviu que trocar de senha toda semana é uma forma de deixar suas…

O que acontece quando você aperta ‘Permitir’ em um aplicativo?

Você instala um aplicativo novo, abre pela primeira vez e a tela aparece: “Permitir acesso…

O que revisar no seu celular uma vez por mês ? (e leva 5 minutos)

Você desbloqueia o celular para responder uma mensagem rápida e, sem perceber, passa por vários…