A Trend Micro publicou recentemente um
artigo que detalha de forma bem didática o funcionamento e a arquitetura de um ataque bancário que ocorreu há alguns meses aqui no Brasil. O artigo é interessante pela explicação detalhada de um ataque muito comum em nosso país, que utiliza das seguintes técnicas:
- Invasão de um site popular, que é utilizado como vetor de infecção, propagando um malware para seus visitantes;
- Infecção de máquina e alteração da configuração de proxy para redirecionamento dos acessos a bancos brasileiros;
- Phishing e Pharming de bancos brasileiros. O uso de sites clonados de bancos ainda é uma das principais formas de roubo de dados pessoais - além dos keyloggers.
O ataque em questão estava acontecendo através do blog
“Não Salvo”, um dos maiores blogs brasileiros de entretenimento, e do site de conteúdo adulto
“Malícia”, que teriam sido comprometidos de forma que os visitantes destes sites eram induzidos a baixar e instalar um arquivo malicioso. Este tipo de ataque é muito comum, aonde os ciber criminosos aproveitam-se de alguma vulnerabilidade em um site bem conhecido dos usuários para espalhar ódigos maliciosos - seja, por exemplo, através de anúncios falsos ou mesmo hackeando a página original do site ou algum frame dele (por exemplo, o pedaço do site que normalmente exibe anúncios criados por um servidor externo).
Nestes sites analisados pela Trend Micro havia uma chamada para um script malicioso externo que redirecionava os visitantes para outra página, dizendo que o usuário deveria fazer a atualização de seu plugin do Adobe Flash Player. Ao concordar com a suposta atualização, o usuário acabava baixando um arquivo executável correspondente ao downloader de um malware. Em seguida, ele faz alterações no proxy do navegador, através de um script de configuração do tipo PAC (Proxy Auto-Config) - uma técnica muito comum entre os malwares bancários brasileiros.
Uma vez infectado, quando a vítima tentava acessar o site de seu banco, ela era redirecionada para o proxy malicioso, que exibia uma página falsa, destinada a enganar os usuários e capturar seus dados de login (vide imagem abaixo).
Pode parecer difícil de acreditar, mas tem usuário que digita todas as senhas do seu cartão de senhas !!!
Um ponto importante é que o comércio de malwares bancários e de páginas clonadas é comumente encontrado no
submundo brasileiro, facilitando o trabalho dos ciber crminosos.