Malware mira clientes de 4 bancos brasileiros

Paulo Brito
16/09/2017
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Clientes dos bancos Bradesco, Santander, Sicoob e Itaú estão na mira do malware DownAndExec, confirma uma análise feita pelos especialistas da empresa Eset, que tem sede na Eslováquia e conta com filial no Brasil. O malware é extremamente sofisticado e seus autores estão escondendo os seus servidores de comando e controle (com os quais o malware se comunica para receber ou enviar dados) em redes de distribuição de conteúdo (content delivery network ou CDN). Essas redes são formadas por servidores legítimos que armazenam, por exemplo, conteúdo do iTunes ou do Netflix. É por isso que quando a gente assiste Netflix esse conteúdo chega para nós sem soluços (na maioria das vezes).

Esconderijo de malware

O ataque às vítimas começa com o envio de emails contendo arquivos com um malware de nome complicado: NSIS/TrojanDropper.Agent.CL. O que esse malware faz, antes de tudo, é o download de um complemento para continuar a montagem da infecção – e esse complemento está armazenado justamente num servidor que faz parte de uma CDN. Uma das razões para os cibercriminosos terem feito isso é a seguinte: quem bloquearia dados que estão vindo, digamos, da Netflix?

A estratégia de programação dos cibercriminosos evita que o malware seja identificado inclusive pelos antivírus. Ele vasculha o computador da vítima à procura de arquivos interessantes e das pastas com nomes dos quatro bancos, onde geralmente há dados associados ao software de home banking. Para finalizar, o malware confere se a conexão utilizada pela vítima é mesmo do Brasil.

Só depois dessas verificações é feito download do programa que manterá o computador da vítima conectado ao centro de comando e controle.

bank trojan illustration
Clique para ampliar

Embora ainda haja muitas perguntas não respondidas pelos pesquisadores, eles acharam melhor divulgar o alerta.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest