Cibercriminosos brasileiros importam método de ataque

É a primeira vez que esta tática é usada no País e visa disseminar malware bancário no Brasil e Chile

Compartilhar:

Não é novidade que os cibercriminosos brasileiros tentam, constantemente, novas formas para enganar os usuários – mas não é sempre que eles criam técnicas. A Kaspersky Lab identificou uma campanha de malware bancário utilizando o método BOM para confundir scanners de e-mail e infectar as vítimas – esta é a primeira vez que a técnica é utilizada no País e tem como alvo correntistas brasileiros e chilenos.

 

Criados por criminosos russos para distribuir malware de sistemas Windows, essa técnica foi descoberta em 2013 e consiste em adicionar o prefixo BOM (Byte Order Mark) para evitar a detecção. Campanhas de malware bancários dependem das famosas mensagens de phishing para aumentar o número de vítimas. O desafio dos criminosos russos era confundir os scanners de e-mail, então eles criaram um arquivo .ZIP com cabeçalho modificado para conseguir entregar as mensagens maliciosas nas caixas de correio dos usuários.

 

Ao tentar abrir o arquivo compactado utilizando o visualizador padrão do Windows Explorer, o usuário visualizará uma mensagem de erro, dizendo que este está corrompido. Ao analisá-lo, os especialistas da Kaspersky Lab perceberam que o cabeçalho do ZIP contém três bytes extras (0xEFBBBF), que representam o (BOM), antes da assinatura “PK” (0x504B), que é o padrão do ZIP. Já o BOM é encontrado normalmente em arquivos de texto com codificação UTF-8. O ponto é que algumas ferramentas não irão reconhecer este arquivo como um ZIP, elas o lerão como um arquivo de texto e não conseguirão abri-lo.

 

Entretanto, programas como WinRAR e 7-Zip simplesmente ignoram o prefixo e irão extrair seu conteúdo corretamente. Uma vez que o usuário faça isso, ele será infectado. Quando isso acontece, o malware atuará como ponte para baixar o malware principal.

 

Após uma sequência de processos que visam evitar a detecção das ações maliciosas, é baixado o malware principal: variantes malware Banking RAT que fica inoperante na máquina da vítima até que esta tente acessar seu Internet banking. Neste momento, ele começa a capturar tokens, código de acesso, data de aniversário, senha de acesso, entre outras formas de autenticação bancária.

 

“Identificamos atividades da campanha maliciosas usando o método BOM contra correntistas brasileiros e chilenos. Tecnicamente, ela é engenhosa e, por isso, é ingênuo esperar que com seis anos desde seu descobrimento ela não será efetiva. Os únicos usuários que contam com uma solução de segurança premiada não correm muitos riscos, porém quem não tem nenhuma proteção está vulnerável”, afirma Thiago Marques, analista de segurança da Kaspersky Lab.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Anatel abre consulta para habilitar avaliação de Segurança em aparelhos móveis

Medida visa aumentar a proteção de dados corporativos e dos consumidores, e as contribuições podem ser feitas até 29 de...
Security Report | Overview

Deepfakes: Os desafios da Era da Informação manipulada

Diversas situações cotidianas recentes demonstraram a necessidade de manter atenção redobrada aos deepfakes que circulam nas redes, devido a sua...
Security Report | Overview

Hacktivismo puxa aumento de ataques DDoS no Brasil, alerta especialista

Pesquisadores da Check Point Software voltam a alertar sobre a ascensão de ataques de hackers em nome de ideologias e...
Security Report | Overview

EUA e Reino Unido movem sanções conjuntas em resposta a ciberataques chineses

Especialistas da Check Point Software analisaram os ataques do grupo de hackers APT31, afiliado ao Estado chinês, contra os governos...