Uma nova técnica de direcionamento usando serviços de proxy está sendo explorada por cibercriminosos brasileiros. Nessa categoria de golpe os navegadores mais usados — Firefox, Chrome e Internet Explorer — têm suas configurações alterados, e o usuários são direcionados para páginas falsas de banco e outros serviços financeiros.
O golpe se dá através do uso de serviços de proxy, que são servidores que atendem a requisições repassando os dados. Um usuário (cliente) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor, e o proxy de fato realiza a conexão, ficando de “ponte”. Por isso, o proxy tem acesso à todos os dados da conexão e pode também alterar as informações enviadas e recebidas.
Em análises feitas pelo time de análises da Linha Defensiva, o ARIS-LD, e também pelos casos postados pelos usuários no Fórum Linha Defensiva, o golpe já está bastante disseminado.
Arquivos .pac
O golpe começa quando o internauta abre e-mails ou anexos de origem duvidosa. A partir desse momento o vírus irá alterar as configurações do navegador, adicionando nas opções de rede do mesmo uma URL para um arquivo .pac.
Arquivos .pac (Proxy Auto-config) são legítimos, porém podem ser usados de maneira maliciosa, como nesses casos. São scripts feitos em JavaScript que definem quais páginas de internet serão respondidas por um determinado servidor, que atuará como proxy.
Nos golpes analisados, as páginas dos principais bancos brasileiros são direcionadas para máquinas que servem páginas falsas, fazendo com que o usuário seja tenha seus dados financeiros roubados.
O golpe atinge qualquer versão do Internet Explorer e Firefox. O Chrome, do Google, por utilizar as mesmas configurações do Internet Explorer, também é afetado.
Como saber se você está infectado
No Internet Explorer, acesse o menu Ferramentas, Opções da Internet. Na aba Conexões, clique sobre o botão Configurações da Lan. Veja na caixa que abrirá se há alguma URL terminada com .pac na opção “Usar script de configuração automática”. Caso haja, remova-o.
No Firefox, acesse o menu Ferramentas, Opções. Na aba Avançado, acesse a opção Rede e clique no botão “Configurar Conexão”. Na caixa que abrir, verifique no ítem “Endereço para configuração automática de proxy” se há alguma URL. Caso haja, remova-a.
Você ainda pode usar a ferramenta gratuita BankerFix, da Linha Defensiva, que foi atualizada para remover as configurações de proxy maliciosas.
A equipe da Linha Defensiva notificou ao CERT Brasil para que tome as providências cabíveis para a remoção dos servidores maliciosos, pois muitos deles estão localizados no Brasil.
Linha Defensiva 
Excelente trabalho! Parabéns LD!
CurtirCurtir
Muito bom!!!
Funcionou 100%
CurtirCurtir
Gostaria de agradecer ao Linha Defensiva pelos esclarecimentos, pois fui infectado pelo banker e consegui normalizar a situação no meu note. Varri o pc com o Malwarebytes anti Malware e só ele achou o vírus e então limpei a configuração Proxi da opções de Internet conforme explicado.
Mais uma vez, muito obrigado.
CurtirCurtir