Por Fabio Assolini

Uma das características comum entre os vários vírus brasileiros criados para roubar senhas de banco — os chamados bankers — é a distribuição focada somente no público nacional, onde o alvo são os clientes de instituições financeiras do Brasil. No entanto, um novo ataque ataca também sites de bancos espanhois.

O vírus foi analisado pelo ARIS-LD, time da Linha Defensiva que monitora as pragas de origem brasileira. O ataque começa com a seguinte mensagem maliciosa, que chega por e-mail:

Reproduçãophishing

Clique para ampliar

Ao executar o arquivo oferecido na mensagem, o computador da ví­tima terá o arquivo hosts do Windows alterado para que, ao acessar a pagina de um banco, o navegador seja direcionado a sites falsos.

Esse tipo de golpe é chamado de banhost, e sua presença é bastante comum em ladrões de senha brasileiros. O que chama a atenção nesse golpe é a presença de páginas falsas de bancos da Espanha hospedadas no mesmo local onde estão páginas falsas de bancos brasileiros, o que aponta para um possível trabalho em conjunto entre cibercriminosos brasileiros e espanhois, conforme mostrado na imagem abaixo:

Reproduçãohosts

Clique para ampliar

O endereço IP 189.126.117.129, que é adicionado no arquivo hosts da máquina infectada, pertence à Locaweb, empresa brasileira que trabalha com venda de domínios e hospedagem de sites. Neste IP estão hospedados nada menos que 13 sites falsos de bancos brasileiros e 8 sites falsos de bancos espanhois:

Lista de sites na mira do trojan Brasileiro-Espanhol

Brasileiros

  • caixa.com.br
  • real.com.br
  • itau.com.br
  • itaupersonnalite.com.br
  • itauprivatebank.com.br
  • bb.com.br
  • bradesco.com.br
  • bradescoempresas.com.br
  • bradescoprime.com.br
  • santander.com.br
  • banespa.com.br
  • nossacaixa.com.br
  • unibanco.com.br

Espanhóis

  • caixacatalunya.es
  • banesto.es
  • cajamadrid.es
  • bbva.es
  • cam.es
  • openbank.es
  • lacaixa.es
  • portal.lacaixa.es
&nbps;

Ao tentar acessar a página de um dos bancos espanhois a partir de uma máquina infectada com o trojan, o usuário é imediatamente direcionado para uma página clonada, idêntica à verdadeira, com uma diferença: as páginas falsas não exibem o cadeado de segurança usado em conexões https.

Essa análise aponta para uma possível cooperação entre criminosos brasileiros e espanhóis. A empresa de hospedagem LocaWeb, citada nesse artigo, já foi notificada do incidente e deverá remover as páginas falsas do ar — a empresa geralmente lida de forma exemplar com esse tipo de uso criminosos de seus serviços. Até a publicação desse post, as páginas ainda estavam no ar.

Não é a primeira vez que brasileiros parecem estar envolvidos com criminosos de outros países. A Websense noticiou em 2007 que brasileiros usavam kits desenvolvidos por criminosos russos para explorar brechas de segurança em navegadores. O intercâmbio Brasil-Rússia deu origem a um malware que já foi notí­cia aqui na Linha Defensiva: o uso de um antirootkit russo – software de segurança legí­timo, desenvolvido pela empresa de segurança Greatis Software para remover plugins de segurança usados pelos bancos brasileiros.

Escrito por Redação Linha Defensiva

Todos os posts Website

7 comentários

  1. Plinio 18/05/2009 às 16:56

    O site da oi para envio de torpedos via web está infectado com uma praga desse tipo, toda vez que vc acessa o site ele pergunta se vc autoriza a execução de um aplicativo java. Se você aceita, ele troca todos os hosts do seu computador que redireciona para sites falsos de bancos. Tentei entrar em contato com a Oi mas não obtive sucesso.

    Curtir

    Responder

  2. David 23/05/2009 às 15:07

    Fui afetado por este maldito, o IP que mostra aqui é outro, quando tento acessar o site do Banco Itaú ele mascara com o IP: “199.237.233.245” e pede informações do Cartão Pessoal, Senha de Saque, etc… Já passei Scan do Avast, Já executei o “BanlerFix” e nada consegue tirar essa praga, a solução que eu tive para acessar a minha conta foi acessar o site do Itaú através do IP deles: “http://200.196.152.40/”, desta forma aparece até o cadeado no navegador e ele não pede nenhuma informação que esta pedindo quando eu acesso a Url padrão: “www.itau.com.br”, gostaria de saber o que posso fazer neste caso? sendo que todos os Anti-Víris, Ad-Aware, etc.. não conseguiram tirar o mesmo.

    Obrigado,

    David

    Curtir

    Responder

  3. Fabio Assolini 25/05/2009 às 08:03

    David :
    Use nosso serviço gratuito de Remoção de Malware, lendo essas instruções:
    https://linhadefensiva.org/remocao-de-virus

    Curtir

    Responder

  4. David 26/05/2009 às 13:49

    Fabio
    – Consegui tirar ele fazendo um scan Online do http://www.f-secure.com/ e depois eu tive que instalar o HostsXpert para restaurar a configuração original dos Hosts.

    Obrigado pela ajuda!

    Curtir

    Responder

  5. Jader 01/06/2009 às 12:00

    Quando voce digita http://www.bb.com.br, e entra em uma pagina falsa que pede senhas e numero do cartao de credito, isso se da a uma alteracao em um arquivo do windows chamdo HOSTS que esta localizado em: C:WINDOWSsystem32driversetchosts.
    Para verificar se o arquivo se encontra no seu estado normal, sem alteracoes, faça o seguinte: clique em: Iniciar -> executar -> C:WINDOWSsystem32driversetchosts -> abrir com bloco de notas. O arquivo devera estar assim:
    *********************************************
    # Copyright © 1993-1999 Microsoft Corp.
    #
    # This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
    #
    # This file contains the mappings of IP addresses to host names. Each
    # entry should be kept on an individual line. The IP address should
    # be placed in the first column followed by the corresponding host name.
    # The IP address and the host name should be separated by at least one
    # space.
    #
    # Additionally, comments (such as these) may be inserted on individual
    # lines or following the machine name denoted by a “#” symbol.
    #
    # For example:
    #
    # 102.54.94.97 rhino.acme.com # source server
    # 38.25.63.10 x.acme.com # x client host
    #
    127.0.0.1 localhost
    *****************************************************

    Ja peguei essa praga, estava assim:
    199.237.235.46 caixa.gov.br
    199.237.235.46 http://www.caixa.gov.br
    199.237.235.46 caixa.com.br
    199.237.235.46 http://www.caixa.com.br
    199.237.235.46 http://www.cef.gov.br
    199.237.235.46 http://www.cef.com.br
    199.237.235.46 http://www.caixaeconomica.com.br
    199.237.235.46 http://www.caixaeconomicafederal.com.br
    199.238.129.131 bradesco.com.br
    199.238.129.131 http://www.bradesco.com.br
    199.238.129.131 bb.com.br
    199.238.129.131 http://www.bb.com.br
    199.238.129.131 bancodobrasil.com.br
    199.238.129.131 http://www.bancodobrasil.com.br
    199.238.129.131 bancobrasil.com.br
    199.238.129.131 http://www.bancobrasil.com.br
    199.238.129.131 itau.com.br
    199.238.129.131 http://www.itau.com.br
    199.238.129.131 itaupersonnalite.com.br
    199.238.129.131 http://www.itaupersonnalite.com.br
    199.238.129.131 itauprivatebank.com.br
    199.238.129.131 http://www.itauprivatebank.com.br
    199.238.129.131 santander.com.br
    199.238.129.131 http://www.santander.com.br
    199.238.129.131 banespa.com.br
    199.238.129.131 http://www.banespa.com.br
    199.238.129.131 http://www.santanderbanespa.com.br
    199.238.129.131 real.com.br
    199.238.129.131 http://www.real.com.br
    199.238.129.131 bancoreal.com.br
    199.238.129.131 http://www.bancoreal.com.br
    199.238.129.131 citibank.com.br
    199.238.129.131 http://www.citibank.com.br
    199.238.129.131 http://www.unibanco.com
    199.238.129.131 unibanco.com.br
    199.238.129.131 http://www.unibanco.com.br
    199.238.129.131 http://www.rural.com.br
    199.238.129.131 http://www.bancorural.com.br
    199.238.129.131 http://www.bnb.gov.br
    199.238.129.131 http://www.credicarditau.com.br
    199.238.129.131 http://www.itaucard.com.br
    199.238.129.131 http://www.cetelem.com.br
    199.238.129.131 http://www.visanet.com.br
    199.238.129.131 paypal.com
    199.238.129.131 http://www.paypal.com
    199.238.129.131 infoseg.gov.br
    199.238.129.131 http://www.infoseg.gov.br
    199.238.129.131 checktudo.com
    199.238.129.131 http://www.checktudo.com
    199.238.129.131 checktudo.com.br
    199.238.129.131 http://www.checktudo.com.br
    199.238.129.131 http://www.equifax.com.br
    199.238.129.131 http://www.sci.com.br
    199.238.129.131 serasa.com
    199.238.129.131 http://www.serasa.com
    199.238.129.131 serasa.com.br
    199.238.129.131 http://www.serasa.com.br
    199.238.129.131 infobusca.informarketing.com
    199.238.129.131 e-tim.timbrasil.com.br
    199.238.129.131 http://www.oivende.com.br
    127.0.0.1 http://www.linhadefensiva.com.br

    espero ter colaborado.
    Att Jader

    Curtir

    Responder

  6. Mestre 31/07/2009 às 13:29

    Não sabia que em motel tinha cozinha. Não tem cozinha em motel, logo esse email é um malware mais claro que careca lustrada. haehuehueahuae

    Curtir

    Responder

  7. Iris | IFD 22/09/2009 às 01:41

    Hoje deu um pau no meu outlook e nao conseguia fecha-lo de jeito nenhum, o dia passou fiz meu trabalho e quando fui ver meu extrato notei uma grande diferença no site do Bradesco, o rodapé zoado, botões td muito estranho, entrei e começou a pedir minha senha e todas as chaves coisa q nucna fazem , sai do site na hora… e pensei mais tarde tento de novo, entao fui no Pagamento Digital e do nada deu um avido q o site era suspeito, após MUITA pesquisa e para minha surpresa peguei este maldito ai…eu nem cliquei nada em email, mas com certeza veio algum e executou a coisa sozinha.

    Assim como o Jader a relação que veio quando executei o hijackthis foi a mesma, porem o host de numero diferente, segue alguns q apareceram:

    O1 – Hosts: 198.106.228.246 visanet.com.br
    O1 – Hosts: 198.106.228.246 http://www.visanet.com.br
    O1 – Hosts: 198.106.228.246 http://www.openbank.es
    O1 – Hosts: 198.106.228.246 openbank.es
    O1 – Hosts: 198.106.228.246 http://www.lacaixa.es
    O1 – Hosts: 198.106.228.246 lacaixa.es
    O1 – Hosts: 198.106.228.246 http://www.bancoreal.com.br
    O1 – Hosts: 198.106.228.246 http://www.real.com.br
    O1 – Hosts: 198.106.228.246 http://www.real.com.br
    O1 – Hosts: 198.106.228.246 http://www.itau.com.br
    O1 – Hosts: 198.106.228.246 itau.com.br
    O1 – Hosts: 198.106.228.246 http://www.itaupersonnalite.com.br
    O1 – Hosts: 198.106.228.246 itaupersonnalite.com.br
    O1 – Hosts: 198.106.228.246 http://www.itauprivatebank.com.br
    O1 – Hosts: 198.106.228.246 itauprivatebank.com.br
    O1 – Hosts: 198.106.228.246 http://www.bb.com.br
    O1 – Hosts: 198.106.228.246 bb.com.br
    O1 – Hosts: 198.106.228.246 http://www.bb.gov.br
    O1 – Hosts: 198.106.228.246 bb.gov.br
    O1 – Hosts: 198.106.228.246 bradesco.com.br

    Passei todos os malwares possiveis, o Malwarebytes Anti-Malware ,combofix, o banker fiz verificação online e tudo q podem imaginar todos pegaram algo no final rodei o hijackthis e la estavam estes hosts ai arranquei todos e aparentemente esta tudo ok..mas o susto foi grande q eu que sou super cuidadosa com isso, peguei esta porcaria! Espero ter ajudado de certa forma ;)

    Curtir

    Responder

Deixe um comentário

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.