Uma nova técnica de direcionamento usando serviços de proxy está sendo explorada por cibercriminosos brasileiros. Nessa categoria de golpe os navegadores mais usados — Firefox, Chrome e Internet Explorer — têm suas configurações alterados, e o usuários são direcionados para páginas falsas de banco e outros serviços financeiros.

O golpe se dá através do uso de serviços de proxy, que são servidores que atendem a requisições repassando os dados. Um usuário (cliente) conecta-se a um servidor proxy, requisitando algum serviço, como um arquivo, conexão, website, ou outro recurso disponível em outro servidor, e o proxy de fato realiza a conexão, ficando de “ponte”. Por isso, o proxy tem acesso à todos os dados da conexão e pode também alterar as informações enviadas e recebidas.

Em análises feitas pelo time de análises da Linha Defensiva, o ARIS-LD, e também pelos casos postados pelos usuários no Fórum Linha Defensiva, o golpe já está bastante disseminado.

Arquivos .pac

O golpe começa quando o internauta abre e-mails ou anexos de origem duvidosa. A partir desse momento o vírus irá alterar as configurações do navegador, adicionando nas opções de rede do mesmo uma URL para um arquivo .pac.

Arquivos .pac (Proxy Auto-config) são legítimos, porém podem ser usados de maneira maliciosa, como nesses casos. São scripts feitos em JavaScript que definem quais páginas de internet serão respondidas por um determinado servidor, que atuará como proxy.

Nos golpes analisados, as páginas dos principais bancos brasileiros são direcionadas para máquinas que servem páginas falsas, fazendo com que o usuário seja tenha seus dados financeiros roubados.

Reprodução/ARIS-LDpac3

O golpe atinge qualquer versão do Internet Explorer e Firefox. O Chrome, do Google, por utilizar as mesmas configurações do Internet Explorer, também é afetado.

Como saber se você está infectado

No Internet Explorer, acesse o menu Ferramentas, Opções da Internet. Na aba Conexões, clique sobre o botão Configurações da Lan. Veja na caixa que abrirá se há alguma URL terminada com .pac na opção “Usar script de configuração automática”. Caso haja, remova-o.

Reproduçãopacie1

No Firefox, acesse o menu Ferramentas, Opções. Na aba Avançado, acesse a opção Rede e clique no botão “Configurar Conexão”. Na caixa que abrir, verifique no ítem “Endereço para configuração automática de proxy” se há alguma URL. Caso haja, remova-a.

Reproduçãopacff

Você ainda pode usar a ferramenta gratuita BankerFix, da Linha Defensiva, que foi atualizada para remover as configurações de proxy maliciosas.

A equipe da Linha Defensiva notificou ao CERT Brasil para que tome as providências cabíveis para a remoção dos servidores maliciosos, pois muitos deles estão localizados no Brasil.

Anúncios

Escrito por Redação Linha Defensiva

3 comentários

  1. Ti@go Gomes 31/07/2009 às 09:26

    Excelente trabalho! Parabéns LD!

    Curtir

    Responder

  2. Muito bom!!!

    Funcionou 100%

    Curtir

    Responder

  3. Ratmachine2008 11/06/2012 às 20:26

    Gostaria de agradecer ao Linha Defensiva pelos esclarecimentos, pois fui infectado pelo banker e consegui normalizar a situação no meu note. Varri o pc com o Malwarebytes anti Malware e só ele achou o vírus  e então limpei a configuração Proxi da opções de Internet  conforme explicado.
    Mais uma vez, muito obrigado.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s