Transferência TED (Foto: Reprodução)

Detalhe do código que realiza a TED. (Foto: Reprodução)

A Linha Defensiva encontrou uma praga digital brasileira capaz de realizar, sozinha, uma Transferência Eletrônica Disponível (TED). Quando o usuário faz o login no Internet Banking, a praga se encarrega de realizar a transferência no valor R$ 5 mil para uma conta pré-programada no código do vírus.

A conta que recebe o dinheiro está cadastrada no Bradesco em nome de alguém chamado Pedro Henrique – provavelmente um laranja. A Linha Defensiva comunicou o banco e cedeu uma cópia do programa malicioso, que ainda contém o número, agência e CPF da conta cadastrada. Até o momento, o banco não informou qualquer providência.

Esse tipo de ataque já era previsto por especialistas e códigos demonstrando o conceito já foram criados, mas é a primeira vez que um vírus verdadeiro o utiliza. A vantagem do vírus é dispensar o acesso à conta a partir do computador do criminoso, criando menos rastros do crime e dificultando a identificação da transferência maliciosa pelo próprio banco, que verifica anomalias – como uma transferência realizada a partir de um computador que nunca acessou a conta.

Os vírus nacionais normalmente roubam as informações para que os criminosos realizem a transferência depois – algo que essa praga consegue fazer diretamente.

A praga é executada através de um complemento malicioso instalado pelo vírus no Internet Explorer. Quando a vítima acessa a sua conta, esse código realiza o golpe. Caso a vítima não tenha os R$ 5 mil na conta, o vírus verifica o saldo e transfere o que estiver disponível.

O código parece ter também uma função para pagar boletos, mas o funcionamento desse recurso ainda não está claro.

Como quase todos os outros vírus brasileiros, a praga chega em uma fraude por e-mail. O vírus foi obtido em uma amostra cedida por um internauta à Linha Defensiva, por meio do sistema que recebe essas denúncias – o ARIS.

O BankerFix, ferramenta de remoção de vírus bancários distribuída pela Linha Defensiva, removerá a praga a partir da próxima atualização.

[ Atualizado 03/08 às 15h ] O Bradesco enviou nota à Linha Defensiva afirmando que a conta não existe.

Trata-se de um vírus já conhecido do mercado. Quanto as informações da Agência e conta corrente constante no arquivo não são do Bradesco.

Acreditamos tratar-se de conta fictícia para teste do desenvolvedor

O vírus foi capturado pela Linha Defensiva no dia 21 de julho. Embora outras pragas semelhantes possam já estar em circulação, é a primeira vez que um ataque desse tipo foi anunciado publicamente no Brasil.

Altieres Rohr colaborou com a reportagem

Anúncios

Escrito por Maria Cristina

Analista de malware http://linhadefensiva.org

12 comentários

  1. Gabriel de Lima 03/08/2011 às 02:23

    Meu pai (depois de dois anos recusando-se a deixar o IE)pegou esse vírus em seu notebook no trabalho,onde o computador fica ligado a uma rede de outros PC’s. Precisa acessar o Bradesco para trabalhar. Rodei o BankerFix na última sexta-feira,assim como o Advanced System Care,e conseguimos logar normalmente na conta do Banco(antes,pedia-se para informar todos os dígitos do cartão de segurança bradesco em uma página falsa). Porém,o vírus retornou. Como ele deve proceder? Grato!

    Curtir

    Responder

    1. Gabriel, esse vírus especificamente age apenas no Internet Explorer.

      Se o problema está ocorrendo no Chrome, é provável que o vírus seja outro – e aí existem vários vírus que agem em qualquer navegador, como os vírus que usam proxies e arquivos Hosts.

      Curtir

      Responder

  2. Como o vírus transfere via doc, se há a necessidade de se colocar um código para efetuar a transferência vindo de um token? Não entendi….

    Curtir

    Responder

    1. Nem todos os bancos têm esse recurso, e no momento que o vírus controla a sessão do navegador ele pode exibir uma confirmação de token para qualquer outro motivo.

      Curtir

      Responder

  3. Prezado, o post é até bacana, mas esse vírus já foi detectado a muito tempo (+/- uns dois anos). Sugiro que revise seu conteúdo a ser publicado. Eu ja tinha descoberto e analisado ele a muito tempo..

    att,
    Kesley Pinheiro

    Curtir

    Responder

    1. O URLZone existe desde 2009, portanto três anos. Mas no Brasil é a primeira vez que está em uso, e não temos provas concretas de que esse trojan é uma variante do URLZone, portanto é possível que ele tenha sido criado aqui.

      De qualquer forma, fique à vontade para dar links de cobertura da imprensa ou whitepaper de conferência mostrando sua análise; se não há nem um, nem outro, ficaria difícil a gente revisar o conteúdo baseado em uma informação que não foi divulgada.

      Curtir

      Responder

  4. Fulano de Tal 04/08/2011 às 11:24

    Com certeza essa empresa tem merda na cabeça, analisam de forma errônea e dão relatórios errados, claro que não vem cadastrados, é feito por comando externo, o vírus captura os dados e faz a transferencia ou pagamento, a comunicação é criptografada. Aff parece que tem merda na cabeça isso é BHO

    Curtir

    Responder

    1. Sim, meu caro, claro que é BHO. Qual parte de “complemento do Internet Explorer” você não entendeu?

      E sim, está programado no código do vírus. Fique à vontade para encontrar uma amostra do vírus e provar sua teoria.

      Curtir

      Responder

  5. Fulano de Tal 04/08/2011 às 14:21

    O que eu posso afirmar é que é controlado remotamente, não é tem nada de fazer sozinho, o comando é feito remotamente, e ja está sendo usado desde 2003 ou antes. E sim está sendo usado em outros navegadores. As empresas de segurança que estão super atrasadas.

    Curtir

    Responder

  6. A sample analisada não instala complementos em outros navegadores e não é comandada remotamente. O código do arquivo carrega todas as informações que a praga precisa para efetuar o golpe, sem depender de comandos remotos. Se outro trojan brasileiro já usou a mesma técnica exposta aqui, então por favor, informe o link da análise onde a mesma foi publicada.

    Curtir

    Responder

  7. Em 18 de julhofiz um pagamento via internet banking,depois, fui ao caixa eletrônico para fazer uma retirada, ao inserir o cartao recebia a mensagem que a operaçao estava indisponivel. Vários clientes, de vários bancos, tentavam fazer a retirada sem sucesso, em todos os caixas eletronicos e também nos caixas do bradesco dia e noite. No dia seguinte recebi uma ligaçao de um funcionário do Bradesco, informando que a minha conta foi vítima de tentativa de ataque de hacker, por isso o bloqueio da minha senha de internet e da chave de segurança. Mas, pelo que testemunhei em 6 caixas eletrônicos, sinceramente, o que aconteceu foi algum ataque ao sistema deles, até por que consegui comprar sem problema algum no débito. Como eu havia feito, dias antes a avaliação do log pelo linha defensiva, isso mostra pra mim, que realmente alguma coisa de vultuosa estava acontecendo. Nenhum valor foi retirado da minha conta, mas fiquei pouco tempo online, no internet banking, mas, como tres dias depois voces identificaram o vírus, talvez haja alguma ligação entre os dois fatos.

    Curtir

    Responder

  8. Boa Noite, hoje fui vitima de Hacker, foi feito um doc D para conta de um MAURO GOMES, tocantins ag BRADESCO AG 725 C/C530491-1 porto nacional, gostaria de saber se tem como reaver esse dinheiro?

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s