Nos últimos meses, o número de ataques utilizando RAT (Remote Administration Tool) tem crescido consideravelmente, com criminosos brasileiros utilizando o computador do usuário para aplicar golpes financeiros na internet.
O Laboratório de Análise de Riscos da PSafe se debruçou sobre o tema para explica-lo a você. Veja exemplos de informações enviadas ao servidor e dicas para se proteger contra o problema:
O ultimo parâmetro (2.2) é a versão do malware. Este, quando desatualizado, envia um comando ao servidor solicitando o update/atualização, perpetuando a ameaça no dispositivo infectado.
Após a inicialização e atualizado, o malware monitora os sites acessados. Quando o Internet Banking é aberto, ele envia notificação ao servidor com as informações da máquina contaminada e, também, as páginas acessadas pelo usuário.
Assim que o comando INICIARSCREEN é emitido pelo servidor, o malware começa a registrar screenshots das páginas acessadas em tempo real para o servidor, permitindo ao atacante visualizar e interagir com a máquina do usuário infectado.
Imagem enviada para o servidor
O malware possui suporte a diversos comandos, como:
Com isso, ao identificar um acesso ao Internet Banking, o hacker começa a interagir com o usuário, solicitando as informações, como senha, tabela de senhas, token etc. Com estas informações em mãos, é possível realizar qualquer transação, e como a operação acontece no computador do usuário, este já liberado para uso do Internet Banking, as transações são permitidas.
Para evitar que o usuário perceba os movimentos do mouse e a utilização do Internet Banking pelo criminoso, no momento da transação é enviado um comando para congelar a tela do usuário e simular uma atualização do módulo de segurança, escondendo a ação que está sendo executada.
Durante a análise deste malware, o atacante detectou que uma máquina se registrou no servidor e iniciou o acesso. Ao verificar que era uma máquina virtual e que o código estava sendo analisado, ele enviou algumas mensagens:
Comandos enviados pelo atacante
O usuário sem proteção antivírus está vulnerável ao ataque RAT. Quem tem o PSafe Total Windows instalado no computador está protegido, já que o programa bloqueia este tipo de ameaça.
Você comenta sobre uma viagem, um tênis ou um restaurante e, pouco depois, aparece um…
Você já adiou uma atualização do Android porque achou que nada mudaria no celular? A…
Você usaria um @ no WhatsApp em vez de compartilhar seu número de telefone? O…
Você já ouviu que trocar de senha toda semana é uma forma de deixar suas…
Você instala um aplicativo novo, abre pela primeira vez e a tela aparece: “Permitir acesso…
Você desbloqueia o celular para responder uma mensagem rápida e, sem perceber, passa por vários…