- Invasão de um site popular, que é utilizado como vetor de infecção, propagando um malware para seus visitantes;
- Infecção de máquina e alteração da configuração de proxy para redirecionamento dos acessos a bancos brasileiros;
- Phishing e Pharming de bancos brasileiros. O uso de sites clonados de bancos ainda é uma das principais formas de roubo de dados pessoais - além dos keyloggers.
O ataque em questão estava acontecendo através do blog “Não Salvo”, um dos maiores blogs brasileiros de entretenimento, e do site de conteúdo adulto “Malícia”, que teriam sido comprometidos de forma que os visitantes destes sites eram induzidos a baixar e instalar um arquivo malicioso. Este tipo de ataque é muito comum, aonde os ciber criminosos aproveitam-se de alguma vulnerabilidade em um site bem conhecido dos usuários para espalhar ódigos maliciosos - seja, por exemplo, através de anúncios falsos ou mesmo hackeando a página original do site ou algum frame dele (por exemplo, o pedaço do site que normalmente exibe anúncios criados por um servidor externo).
Nestes sites analisados pela Trend Micro havia uma chamada para um script malicioso externo que redirecionava os visitantes para outra página, dizendo que o usuário deveria fazer a atualização de seu plugin do Adobe Flash Player. Ao concordar com a suposta atualização, o usuário acabava baixando um arquivo executável correspondente ao downloader de um malware. Em seguida, ele faz alterações no proxy do navegador, através de um script de configuração do tipo PAC (Proxy Auto-Config) - uma técnica muito comum entre os malwares bancários brasileiros.
Uma vez infectado, quando a vítima tentava acessar o site de seu banco, ela era redirecionada para o proxy malicioso, que exibia uma página falsa, destinada a enganar os usuários e capturar seus dados de login (vide imagem abaixo).
Pode parecer difícil de acreditar, mas tem usuário que digita todas as senhas do seu cartão de senhas !!!
Um ponto importante é que o comércio de malwares bancários e de páginas clonadas é comumente encontrado no submundo brasileiro, facilitando o trabalho dos ciber crminosos.
Nenhum comentário:
Postar um comentário