Ir direto para o menu Ir direto para o conteúdo
 
Feeds RSS Principal / Blog da Redação / Vírus & Exploits / Praga brasileira rouba senhas de bancos espanhois
blog da redação

Praga brasileira rouba senhas de bancos espanhois

Fabio Assolini | 17/05/2009 - 00h59

Uma das características comum entre os vários vírus brasileiros criados para roubar senhas de banco — os chamados bankers — é a distribuição focada somente no público nacional, onde o alvo são os clientes de instituições financeiras do Brasil. No entanto, um novo ataque ataca também sites de bancos espanhois.

O vírus foi analisado pelo ARIS-LD, time da Linha Defensiva que monitora as pragas de origem brasileira. O ataque começa com a seguinte mensagem maliciosa, que chega por e-mail:

Reproduçãophishing
Clique para ampliar

Ao executar o arquivo oferecido na mensagem, o computador da ví­tima terá o arquivo hosts do Windows alterado para que, ao acessar a pagina de um banco, o navegador seja direcionado a sites falsos.

Esse tipo de golpe é chamado de banhost, e sua presença é bastante comum em ladrões de senha brasileiros. O que chama a atenção nesse golpe é a presença de páginas falsas de bancos da Espanha hospedadas no mesmo local onde estão páginas falsas de bancos brasileiros, o que aponta para um possível trabalho em conjunto entre cibercriminosos brasileiros e espanhois, conforme mostrado na imagem abaixo:

Reproduçãohosts
Clique para ampliar

O endereço IP 189.126.117.129, que é adicionado no arquivo hosts da máquina infectada, pertence à Locaweb, empresa brasileira que trabalha com venda de domínios e hospedagem de sites. Neste IP estão hospedados nada menos que 13 sites falsos de bancos brasileiros e 8 sites falsos de bancos espanhois:

Lista de sites na mira do trojan Brasileiro-Espanhol

Brasileiros

  • caixa.com.br
  • real.com.br
  • itau.com.br
  • itaupersonnalite.com.br
  • itauprivatebank.com.br
  • bb.com.br
  • bradesco.com.br
  • bradescoempresas.com.br
  • bradescoprime.com.br
  • santander.com.br
  • banespa.com.br
  • nossacaixa.com.br
  • unibanco.com.br

Espanhóis

  • caixacatalunya.es
  • banesto.es
  • cajamadrid.es
  • bbva.es
  • cam.es
  • openbank.es
  • lacaixa.es
  • portal.lacaixa.es
&nbps;

Ao tentar acessar a página de um dos bancos espanhois a partir de uma máquina infectada com o trojan, o usuário é imediatamente direcionado para uma página clonada, idêntica à verdadeira, com uma diferença: as páginas falsas não exibem o cadeado de segurança usado em conexões https.

Essa análise aponta para uma possível cooperação entre criminosos brasileiros e espanhóis. A empresa de hospedagem LocaWeb, citada nesse artigo, já foi notificada do incidente e deverá remover as páginas falsas do ar — a empresa geralmente lida de forma exemplar com esse tipo de uso criminosos de seus serviços. Até a publicação desse post, as páginas ainda estavam no ar.

Não é a primeira vez que brasileiros parecem estar envolvidos com criminosos de outros países. A Websense noticiou em 2007 que brasileiros usavam kits desenvolvidos por criminosos russos para explorar brechas de segurança em navegadores. O intercâmbio Brasil-Rússia deu origem a um malware que já foi notí­cia aqui na Linha Defensiva: o uso de um antirootkit russo - software de segurança legí­timo, desenvolvido pela empresa de segurança Greatis Software para remover plugins de segurança usados pelos bancos brasileiros.

Compartilhar | Imprimir Imprimir
7 comentários | Vírus & Exploits
 

Conteúdo Relacionado

Últimas notícias

Site Seguro

Site Seguro. Não duvide!

Publicidade

Fechar
  • Web Social
  • E-mail
Voltar ao Topo Encaminhe E-mail Suspeito | Comunidades: Orkut / Facebook | Alertas no Twitter | Remova Vírus
Anuncie | Termos de Uso | Política de Privacidade | WP | KP | ASAP
 ©2004-2010 Linha Defensiva. Todos os Direitos Reservados.