quinta-feira, 17 de maio de 2012

Cavalo-de-troia bancário se disfarça deinstalador do Chrome

Os pesquisadores da TrendLabs Brasil,
laboratório da Trend Micro,
encontraram uma nova ameaça capaz de roubar
dados bancários, identificada como
TSPY_Banker.EUIQ . O malware atacou mais de 3
mil usuários nos últimos dias, a maioria
brasileiros, e se espalha através de domínios
aparentemente legítimos, disfarçado de um
instalador do browser Google Chrome.
As URLs incluem os domínios do Facebook, do
Google, da Globo e do Terra. Conforme a
empresa, os endereços estavam sendo
manipulados por um malware bancário multi-
modular, que utilizava uma abordagem inusitada
para fazer o ataque - ao acessar estas URLs, os
usuários eram direcionados a outros endereços
que não pertenciam aos domínios legítimos.
De acordo com Alberto Medeiros, especialista da
Trend Micro, a ameaça age induzindo a vítima a
realizar o download do seu módulo principal, o
ChromeSetup.exe. "Após a infecção, o malware
envia informações da máquina do usuário como
IP, nome de host Windows da máquina, sistema
operacional e versão para um servidor de C&C -
Comando e Controle", explica.
Depois, o cavalo-de-troia faz outro download,
dessa vez de um arquivo que redireciona o acesso
a páginas bancárias falsas sempre que o usuário
tenta visitar sites legítimos de bancos,
apresentando sempre a seguinte mensagem:
Medeiros alerta para um detalhe importante que
pode ajudar o usuário a identificar o malware. "A
página falsa do banco apresenta um caractere
sublinhado, no título da janela, antes do nome do
banco (como pode ser observado nas imagens
abaixo). Caso isso aconteça, o usuário não deve
cadastrar seus dados e senhas".
"Outro ponto de atenção é o fato do
redirecionamento que o malware realiza para o
link utilizado pelos cibercriminosos: sempre que
for acessar contas bancárias, os usuários devem
fazê-lo por meio de domínios válidos", finaliza o
especialista.

Nenhum comentário:

Postar um comentário