jairobel
GForum VIP
- Entrou
- Set 24, 2006
- Mensagens
- 13,098
- Gostos Recebidos
- 1
Uma das características comum entre os vários vírus brasileiros criados para roubar senhas de banco — os chamados bankers — é a distribuição focada somente no público nacional, onde o alvo são os clientes de instituições financeiras do Brasil. No entanto, um novo ataque ataca também sites de bancos espanhois.
O ataque começa com a seguinte mensagem maliciosa, que chega por e-mail:
Ao executar o arquivo oferecido na mensagem, o computador da vítima terá o arquivo hosts do Windows alterado para que, ao acessar a pagina de um banco, o navegador seja direcionado a sites falsos.
Esse tipo de golpe é chamado de banhost, e sua presença é bastante comum em ladrões de senha brasileiros. O que chama a atenção nesse golpe é a presença de páginas falsas de bancos da Espanha hospedadas no mesmo local onde estão páginas falsas de bancos brasileiros, o que aponta para um possível trabalho em conjunto entre cibercriminosos brasileiros e espanhois, conforme mostrado na imagem abaixo:
O endereço IP 189.126.117.129, que é adicionado no arquivo hosts da máquina infectada, pertence à Locaweb, empresa brasileira que trabalha com venda de domínios e hospedagem de sites. Neste IP estão hospedados nada menos que 13 sites falsos de bancos brasileiros e 8 sites falsos de bancos espanhois:
Lista de sites na mira do trojan Brasileiro-Espanhol
Brasileiros
Ao tentar acessar a página de um dos bancos espanhois a partir de uma máquina infectada com o trojan, o usuário é imediatamente direcionado para uma página clonada, idêntica à verdadeira, com uma diferença: as páginas falsas não exibem o cadeado de segurança usado em conexões https.
Essa análise aponta para uma possível cooperação entre criminosos brasileiros e espanhóis. A empresa de hospedagem LocaWeb, citada nesse artigo, já foi notificada do incidente e deverá remover as páginas falsas do ar — a empresa geralmente lida de forma exemplar com esse tipo de uso criminosos de seus serviços. Até a publicação desse post, as páginas ainda estavam no ar.
Não é a primeira vez que brasileiros parecem estar envolvidos com criminosos de outros países. A Websense noticiou em 2007 que brasileiros usavam kits desenvolvidos por criminosos russos para explorar brechas de segurança em navegadores. O intercâmbio Brasil-Rússia deu origem a um malware que já foi notícia aqui na Linha Defensiva: o uso de um antirootkit russo - software de segurança legítimo, desenvolvido pela empresa de segurança Greatis Software para remover plugins de segurança usados pelos bancos brasileiros.
O ataque começa com a seguinte mensagem maliciosa, que chega por e-mail:
Ao executar o arquivo oferecido na mensagem, o computador da vítima terá o arquivo hosts do Windows alterado para que, ao acessar a pagina de um banco, o navegador seja direcionado a sites falsos.
Esse tipo de golpe é chamado de banhost, e sua presença é bastante comum em ladrões de senha brasileiros. O que chama a atenção nesse golpe é a presença de páginas falsas de bancos da Espanha hospedadas no mesmo local onde estão páginas falsas de bancos brasileiros, o que aponta para um possível trabalho em conjunto entre cibercriminosos brasileiros e espanhois, conforme mostrado na imagem abaixo:
O endereço IP 189.126.117.129, que é adicionado no arquivo hosts da máquina infectada, pertence à Locaweb, empresa brasileira que trabalha com venda de domínios e hospedagem de sites. Neste IP estão hospedados nada menos que 13 sites falsos de bancos brasileiros e 8 sites falsos de bancos espanhois:
Lista de sites na mira do trojan Brasileiro-Espanhol
Brasileiros
- caixa.com.br
- real.com.br
- itau.com.br
- itaupersonnalite.com.br
- itauprivatebank.com.br
- bb.com.br
- bradesco.com.br
- bradescoempresas.com.br
- bradescoprime.com.br
- santander.com.br
- banespa.com.br
- nossacaixa.com.br
- unibanco.com.br
- caixacatalunya.es
- banesto.es
- cajamadrid.es
- bbva.es
- cam.es
- openbank.es
- lacaixa.es
- portal.lacaixa.es
Ao tentar acessar a página de um dos bancos espanhois a partir de uma máquina infectada com o trojan, o usuário é imediatamente direcionado para uma página clonada, idêntica à verdadeira, com uma diferença: as páginas falsas não exibem o cadeado de segurança usado em conexões https.
Essa análise aponta para uma possível cooperação entre criminosos brasileiros e espanhóis. A empresa de hospedagem LocaWeb, citada nesse artigo, já foi notificada do incidente e deverá remover as páginas falsas do ar — a empresa geralmente lida de forma exemplar com esse tipo de uso criminosos de seus serviços. Até a publicação desse post, as páginas ainda estavam no ar.
Não é a primeira vez que brasileiros parecem estar envolvidos com criminosos de outros países. A Websense noticiou em 2007 que brasileiros usavam kits desenvolvidos por criminosos russos para explorar brechas de segurança em navegadores. O intercâmbio Brasil-Rússia deu origem a um malware que já foi notícia aqui na Linha Defensiva: o uso de um antirootkit russo - software de segurança legítimo, desenvolvido pela empresa de segurança Greatis Software para remover plugins de segurança usados pelos bancos brasileiros.