{"id":11305,"date":"2015-04-01T19:00:39","date_gmt":"2015-04-01T22:00:39","guid":{"rendered":"https:\/\/www.psafe.com\/blog\/?p=11305"},"modified":"2025-06-09T05:52:48","modified_gmt":"2025-06-09T08:52:48","slug":"malware-analisado-pela-psafe-rouba-senhas-de-banco-ftp-e-e-mail","status":"publish","type":"post","link":"https:\/\/www.psafe.com\/blog\/malware-analisado-pela-psafe-rouba-senhas-de-banco-ftp-e-e-mail\/","title":{"rendered":"Malware analisado pela PSafe rouba senhas de banco, FTP e e-mail"},"content":{"rendered":"

O Spy Banker \u00e9 um malware respons\u00e1vel por roubar senhas de usu\u00e1rios de Internet Banking, e neste caso espec\u00edfico, al\u00e9m de roubar acessos banc\u00e1rios, tamb\u00e9m registra senhas de FTPs<\/a> e de contas de e-mails.<\/p>\n

A propaga\u00e7\u00e3o desde malware se d\u00e1 por meio de a\u00e7\u00f5es de phishing e-mail<\/a> (e-mails com links para download da amea\u00e7a), mensagens que utilizam descri\u00e7\u00f5es bem atrativas para enganar o usu\u00e1rio e induzi-lo a clicar no link malicioso, muitas vezes com ofertas ou alertas de seguran\u00e7a falsos.<\/p>\n

Um usu\u00e1rio infectado pode servir de ponte para novas infec\u00e7\u00f5es. Por exemplo, se o atacante consegue acesso ao e-mail de um usu\u00e1rio ou de algum endere\u00e7o FTP, ele o utiliza para disparar o malware a outros usu\u00e1rios de internet, aumentando a propaga\u00e7\u00e3o da amea\u00e7a.<\/p>\n

Com acesso ao FTP, o atacante pode fazer upload do malware no ambiente interno da empresa, hospedando a amea\u00e7a digital em quest\u00e3o no local, que passa a ser distribu\u00edda \u00e0 rede de computadores conectada ao servidor.<\/p>\n

O passo a passo da infec\u00e7\u00e3o<\/strong><\/h3>\n

A execu\u00e7\u00e3o do arquivo malicioso Spy Banker gera um processo que realiza o download de outro malware no computador do usu\u00e1rio, este mais robusto e capaz de capturar informa\u00e7\u00f5es de hardware e e-mails, iniciando a replica\u00e7\u00e3o da amea\u00e7a.<\/p>\n

O primeiro malware tem tamanho menor que o segundo para que seja baixado para a m\u00e1quina do usu\u00e1rio de forma mais r\u00e1pida, aumentando as taxas de sucesso de infec\u00e7\u00e3o. Este malware depois de instalado baixa um segundo malware de tamanho maior, com recursos mais sofisticados.<\/p>\n

O download do segundo malware, replicador da amea\u00e7a, \u00e9 realizado em background, sem que o usu\u00e1rio perceba a a\u00e7\u00e3o e, mesmo que o processo seja interrompido por algum problema de conex\u00e3o, por exemplo, o primeiro malware (de tamanho reduzido), sempre tentar\u00e1 baix\u00e1-lo novamente, at\u00e9 que tenha sucesso.<\/p>\n

\"spy1\"<\/a><\/p>\n

O segundo malware, mais robusto, \u00e9 o respons\u00e1vel por capturar informa\u00e7\u00f5es de e-mail e SMTP, com inten\u00e7\u00e3o de propagar o malware espi\u00e3o.  Ele tamb\u00e9m acessa informa\u00e7\u00f5es de hardware da m\u00e1quina para que possa clon\u00e1-la, como podemos ver no c\u00f3digo abaixo:<\/p>\n

\"spy2\"<\/a><\/p>\n

\"spy3\"<\/a><\/p>\n

A clonagem \u00e9 necess\u00e1ria para que os criminosos possam realizar as transa\u00e7\u00f5es financeiras banc\u00e1rias de posse dos dados de login e senha do usu\u00e1rio infectado, j\u00e1 que muitos bancos exigem o cadastramento dos computadores que podem acessar a conta banc\u00e1ria.<\/p>\n

Como age o Spy Banker<\/strong><\/h3>\n

Depois de infectar a m\u00e1quina ou PC com o Spy Banker, tem in\u00edcio as tentativas de captura das informa\u00e7\u00f5es de contas do usu\u00e1rio, como senha e login. Neste caso, o malware age assim:<\/p>\n

1\u00b0 Malware<\/strong><\/h4>\n

Ele \u00e9 o respons\u00e1vel por verificar em qual browser o usu\u00e1rio esta acessando o site do banco.<\/p>\n

1. Ao tentar acessar a conta banc\u00e1ria via Chrome ou Firefox, \u00e9 exibida a mensagem abaixo ao usu\u00e1rio infectado:<\/p>\n

\"spy4\"<\/a><\/p>\n

2. Caso o usu\u00e1rio marque \u2018OK\u2019, o browser \u00e9 fechado e o site do banco digitado \u00e9 aberto no Internet Explorer.<\/p>\n

O mesmo acontece se o usu\u00e1rio fechar a caixa de di\u00e1logo ou apertar a tecla \u2018ESC\u2019 do computador.<\/p>\n

\"spy5\"<\/a><\/p>\n

3. A partir desse ponto toda a opera\u00e7\u00e3o bancaria realizada pelo usu\u00e1rio est\u00e1 sendo monitorada.<\/p>\n

4. O criminoso tem acesso ao login, senha e chave de seguran\u00e7a banc\u00e1rios por meio de captura das informa\u00e7\u00f5es fornecidas e screenshots.<\/p>\n

\"spy6\"<\/a><\/p>\n

5. O usu\u00e1rio n\u00e3o consegue minimizar a janela do browser, ela fica \u201cpulando\u201d na tela a todo momento.<\/p>\n

6. O usu\u00e1rio fica vulner\u00e1vel.<\/p>\n

2\u00ba malware<\/strong><\/h4>\n

Ap\u00f3s instalado no computador, o Spy Banker baixa outro malware no PC, que iniciar\u00e1 a replica\u00e7\u00e3o da amea\u00e7a espi\u00e3o para outras m\u00e1quinas.<\/p>\n

A PSafe monitorou atividade deste Spy Banker e descobriu que os criminosos enviavam as informa\u00e7\u00f5es de acesso \u00e0s contas para um servidor malicioso, criando um banco de dados que estaria \u00e0 disposi\u00e7\u00e3o do crime.<\/p>\n

Ao menos 14 empresas brasileiras foram infectadas com o malware. Todas j\u00e1 foram avisadas pela PSafe para trocarem suas informa\u00e7\u00f5es de acesso, como login e senhas, al\u00e9m de recomenda\u00e7\u00f5es para fazerem uma varredura por v\u00edrus e amea\u00e7as digitais nos seus sistemas internos.<\/p>\n

Lista de empresas afetadas pelo Spy Banker<\/strong><\/h3>\n

Por medidas de seguran\u00e7a e privacidade, a PSafe n\u00e3o divulga o nome destas empresas, apesar de j\u00e1 ter feito contato com todas elas para que ficassem cientes da amea\u00e7a e vulnerabilidade dos seus dados. A seguir, uma lista de atua\u00e7\u00e3o destas empresas:<\/p>\n

    \n
  1. Grande varejista brasileiro, com atividade no exterior.<\/li>\n
  2. Importante canal de televis\u00e3o nacional.<\/li>\n
  3. 29 endere\u00e7os de FTP.<\/li>\n
  4. 1.952 contas de e-mail.<\/li>\n<\/ol>\n

    O dfndr security<\/strong><\/a> \u00e9 capaz de reconhecer, bloquear e eliminar a amea\u00e7a Spy Banker. Por isso, recomenda a todos os usu\u00e1rios de internet no Pa\u00eds fazerem a verifica\u00e7\u00e3o por v\u00edrus e malwares ao menos uma vez por semana em suas m\u00e1quinas e dispositivos eletr\u00f4nicos.<\/p>\n

    Abaixo, algumas strings<\/a> utilizadas pelo malware:<\/h3>\n

    \"spy7\"<\/a><\/p>\n

    Com essas informa\u00e7\u00f5es, conseguimos identificar quais os alvos do malware, entre eles usu\u00e1rios de muitos bancos que atuam no Brasil e navegadores de internet, como:<\/p>\n

      \n
    1. Caixa Econ\u00f4mica Federal<\/li>\n
    2. Banco Bradesco<\/li>\n
    3. Banco do Brasil<\/li>\n
    4. Banco Ita\u00fa<\/li>\n
    5. Banco Santander<\/li>\n
    6. Sicredi<\/li>\n
    7. Mozilla Firefox<\/li>\n
    8. Internet Explorer<\/li>\n
    9. Etc.<\/li>\n<\/ol>\n

       <\/p>\n","protected":false},"excerpt":{"rendered":"

      PSafe Tecnologia analisa e monitora funcionamento de Spy Banker no Brasil. Veja como age esta amea\u00e7a digital<\/p>\n","protected":false},"author":114,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","ngg_post_thumbnail":0,"footnotes":""},"categories":[555],"tags":[182,157],"class_list":["post-11305","post","type-post","status-publish","format-standard","hentry","category-ciberataques","tag-malware","tag-psafe"],"_links":{"self":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/11305","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/users\/114"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/comments?post=11305"}],"version-history":[{"count":1,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/11305\/revisions"}],"predecessor-version":[{"id":69418,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/11305\/revisions\/69418"}],"wp:attachment":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/media?parent=11305"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/categories?post=11305"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/tags?post=11305"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}