Por Fabio Assolini
Uma das características comum entre os vários vírus brasileiros criados para roubar senhas de banco — os chamados bankers — é a distribuição focada somente no público nacional, onde o alvo são os clientes de instituições financeiras do Brasil. No entanto, um novo ataque ataca também sites de bancos espanhois.
O vírus foi analisado pelo ARIS-LD, time da Linha Defensiva que monitora as pragas de origem brasileira. O ataque começa com a seguinte mensagem maliciosa, que chega por e-mail:
Ao executar o arquivo oferecido na mensagem, o computador da vítima terá o arquivo hosts do Windows alterado para que, ao acessar a pagina de um banco, o navegador seja direcionado a sites falsos.
Esse tipo de golpe é chamado de banhost, e sua presença é bastante comum em ladrões de senha brasileiros. O que chama a atenção nesse golpe é a presença de páginas falsas de bancos da Espanha hospedadas no mesmo local onde estão páginas falsas de bancos brasileiros, o que aponta para um possível trabalho em conjunto entre cibercriminosos brasileiros e espanhois, conforme mostrado na imagem abaixo:
O endereço IP 189.126.117.129, que é adicionado no arquivo hosts da máquina infectada, pertence à Locaweb, empresa brasileira que trabalha com venda de domínios e hospedagem de sites. Neste IP estão hospedados nada menos que 13 sites falsos de bancos brasileiros e 8 sites falsos de bancos espanhois:
Lista de sites na mira do trojan Brasileiro-Espanhol
Brasileiros
- caixa.com.br
- real.com.br
- itau.com.br
- itaupersonnalite.com.br
- itauprivatebank.com.br
- bb.com.br
- bradesco.com.br
- bradescoempresas.com.br
- bradescoprime.com.br
- santander.com.br
- banespa.com.br
- nossacaixa.com.br
- unibanco.com.br
Espanhóis
- caixacatalunya.es
- banesto.es
- cajamadrid.es
- bbva.es
- cam.es
- openbank.es
- lacaixa.es
- portal.lacaixa.es
Ao tentar acessar a página de um dos bancos espanhois a partir de uma máquina infectada com o trojan, o usuário é imediatamente direcionado para uma página clonada, idêntica à verdadeira, com uma diferença: as páginas falsas não exibem o cadeado de segurança usado em conexões https.
Essa análise aponta para uma possível cooperação entre criminosos brasileiros e espanhóis. A empresa de hospedagem LocaWeb, citada nesse artigo, já foi notificada do incidente e deverá remover as páginas falsas do ar — a empresa geralmente lida de forma exemplar com esse tipo de uso criminosos de seus serviços. Até a publicação desse post, as páginas ainda estavam no ar.
Não é a primeira vez que brasileiros parecem estar envolvidos com criminosos de outros países. A Websense noticiou em 2007 que brasileiros usavam kits desenvolvidos por criminosos russos para explorar brechas de segurança em navegadores. O intercâmbio Brasil-Rússia deu origem a um malware que já foi notícia aqui na Linha Defensiva: o uso de um antirootkit russo – software de segurança legítimo, desenvolvido pela empresa de segurança Greatis Software para remover plugins de segurança usados pelos bancos brasileiros.
O site da oi para envio de torpedos via web está infectado com uma praga desse tipo, toda vez que vc acessa o site ele pergunta se vc autoriza a execução de um aplicativo java. Se você aceita, ele troca todos os hosts do seu computador que redireciona para sites falsos de bancos. Tentei entrar em contato com a Oi mas não obtive sucesso.
CurtirCurtir
Fui afetado por este maldito, o IP que mostra aqui é outro, quando tento acessar o site do Banco Itaú ele mascara com o IP: “199.237.233.245” e pede informações do Cartão Pessoal, Senha de Saque, etc… Já passei Scan do Avast, Já executei o “BanlerFix” e nada consegue tirar essa praga, a solução que eu tive para acessar a minha conta foi acessar o site do Itaú através do IP deles: “http://200.196.152.40/”, desta forma aparece até o cadeado no navegador e ele não pede nenhuma informação que esta pedindo quando eu acesso a Url padrão: “www.itau.com.br”, gostaria de saber o que posso fazer neste caso? sendo que todos os Anti-Víris, Ad-Aware, etc.. não conseguiram tirar o mesmo.
Obrigado,
David
CurtirCurtir
David :
Use nosso serviço gratuito de Remoção de Malware, lendo essas instruções:
https://linhadefensiva.org/remocao-de-virus
CurtirCurtir
Fabio
– Consegui tirar ele fazendo um scan Online do http://www.f-secure.com/ e depois eu tive que instalar o HostsXpert para restaurar a configuração original dos Hosts.
Obrigado pela ajuda!
CurtirCurtir
Quando voce digita http://www.bb.com.br, e entra em uma pagina falsa que pede senhas e numero do cartao de credito, isso se da a uma alteracao em um arquivo do windows chamdo HOSTS que esta localizado em: C:WINDOWSsystem32driversetchosts.
Para verificar se o arquivo se encontra no seu estado normal, sem alteracoes, faça o seguinte: clique em: Iniciar -> executar -> C:WINDOWSsystem32driversetchosts -> abrir com bloco de notas. O arquivo devera estar assim:
*********************************************
# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a “#” symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost
*****************************************************
Ja peguei essa praga, estava assim:
199.237.235.46 caixa.gov.br
199.237.235.46 http://www.caixa.gov.br
199.237.235.46 caixa.com.br
199.237.235.46 http://www.caixa.com.br
199.237.235.46 http://www.cef.gov.br
199.237.235.46 http://www.cef.com.br
199.237.235.46 http://www.caixaeconomica.com.br
199.237.235.46 http://www.caixaeconomicafederal.com.br
199.238.129.131 bradesco.com.br
199.238.129.131 http://www.bradesco.com.br
199.238.129.131 bb.com.br
199.238.129.131 http://www.bb.com.br
199.238.129.131 bancodobrasil.com.br
199.238.129.131 http://www.bancodobrasil.com.br
199.238.129.131 bancobrasil.com.br
199.238.129.131 http://www.bancobrasil.com.br
199.238.129.131 itau.com.br
199.238.129.131 http://www.itau.com.br
199.238.129.131 itaupersonnalite.com.br
199.238.129.131 http://www.itaupersonnalite.com.br
199.238.129.131 itauprivatebank.com.br
199.238.129.131 http://www.itauprivatebank.com.br
199.238.129.131 santander.com.br
199.238.129.131 http://www.santander.com.br
199.238.129.131 banespa.com.br
199.238.129.131 http://www.banespa.com.br
199.238.129.131 http://www.santanderbanespa.com.br
199.238.129.131 real.com.br
199.238.129.131 http://www.real.com.br
199.238.129.131 bancoreal.com.br
199.238.129.131 http://www.bancoreal.com.br
199.238.129.131 citibank.com.br
199.238.129.131 http://www.citibank.com.br
199.238.129.131 http://www.unibanco.com
199.238.129.131 unibanco.com.br
199.238.129.131 http://www.unibanco.com.br
199.238.129.131 http://www.rural.com.br
199.238.129.131 http://www.bancorural.com.br
199.238.129.131 http://www.bnb.gov.br
199.238.129.131 http://www.credicarditau.com.br
199.238.129.131 http://www.itaucard.com.br
199.238.129.131 http://www.cetelem.com.br
199.238.129.131 http://www.visanet.com.br
199.238.129.131 paypal.com
199.238.129.131 http://www.paypal.com
199.238.129.131 infoseg.gov.br
199.238.129.131 http://www.infoseg.gov.br
199.238.129.131 checktudo.com
199.238.129.131 http://www.checktudo.com
199.238.129.131 checktudo.com.br
199.238.129.131 http://www.checktudo.com.br
199.238.129.131 http://www.equifax.com.br
199.238.129.131 http://www.sci.com.br
199.238.129.131 serasa.com
199.238.129.131 http://www.serasa.com
199.238.129.131 serasa.com.br
199.238.129.131 http://www.serasa.com.br
199.238.129.131 infobusca.informarketing.com
199.238.129.131 e-tim.timbrasil.com.br
199.238.129.131 http://www.oivende.com.br
127.0.0.1 http://www.linhadefensiva.com.br
espero ter colaborado.
Att Jader
CurtirCurtir
Não sabia que em motel tinha cozinha. Não tem cozinha em motel, logo esse email é um malware mais claro que careca lustrada. haehuehueahuae
CurtirCurtir
Hoje deu um pau no meu outlook e nao conseguia fecha-lo de jeito nenhum, o dia passou fiz meu trabalho e quando fui ver meu extrato notei uma grande diferença no site do Bradesco, o rodapé zoado, botões td muito estranho, entrei e começou a pedir minha senha e todas as chaves coisa q nucna fazem , sai do site na hora… e pensei mais tarde tento de novo, entao fui no Pagamento Digital e do nada deu um avido q o site era suspeito, após MUITA pesquisa e para minha surpresa peguei este maldito ai…eu nem cliquei nada em email, mas com certeza veio algum e executou a coisa sozinha.
Assim como o Jader a relação que veio quando executei o hijackthis foi a mesma, porem o host de numero diferente, segue alguns q apareceram:
O1 – Hosts: 198.106.228.246 visanet.com.br
O1 – Hosts: 198.106.228.246 http://www.visanet.com.br
O1 – Hosts: 198.106.228.246 http://www.openbank.es
O1 – Hosts: 198.106.228.246 openbank.es
O1 – Hosts: 198.106.228.246 http://www.lacaixa.es
O1 – Hosts: 198.106.228.246 lacaixa.es
O1 – Hosts: 198.106.228.246 http://www.bancoreal.com.br
O1 – Hosts: 198.106.228.246 http://www.real.com.br
O1 – Hosts: 198.106.228.246 http://www.real.com.br
O1 – Hosts: 198.106.228.246 http://www.itau.com.br
O1 – Hosts: 198.106.228.246 itau.com.br
O1 – Hosts: 198.106.228.246 http://www.itaupersonnalite.com.br
O1 – Hosts: 198.106.228.246 itaupersonnalite.com.br
O1 – Hosts: 198.106.228.246 http://www.itauprivatebank.com.br
O1 – Hosts: 198.106.228.246 itauprivatebank.com.br
O1 – Hosts: 198.106.228.246 http://www.bb.com.br
O1 – Hosts: 198.106.228.246 bb.com.br
O1 – Hosts: 198.106.228.246 http://www.bb.gov.br
O1 – Hosts: 198.106.228.246 bb.gov.br
O1 – Hosts: 198.106.228.246 bradesco.com.br
Passei todos os malwares possiveis, o Malwarebytes Anti-Malware ,combofix, o banker fiz verificação online e tudo q podem imaginar todos pegaram algo no final rodei o hijackthis e la estavam estes hosts ai arranquei todos e aparentemente esta tudo ok..mas o susto foi grande q eu que sou super cuidadosa com isso, peguei esta porcaria! Espero ter ajudado de certa forma ;)
CurtirCurtir