Detalhe do código que realiza a TED. (Foto: Reprodução)
A Linha Defensiva encontrou uma praga digital brasileira capaz de realizar, sozinha, uma Transferência Eletrônica Disponível (TED). Quando o usuário faz o login no Internet Banking, a praga se encarrega de realizar a transferência no valor R$ 5 mil para uma conta pré-programada no código do vírus.
A conta que recebe o dinheiro está cadastrada no Bradesco em nome de alguém chamado Pedro Henrique – provavelmente um laranja. A Linha Defensiva comunicou o banco e cedeu uma cópia do programa malicioso, que ainda contém o número, agência e CPF da conta cadastrada. Até o momento, o banco não informou qualquer providência.
Esse tipo de ataque já era previsto por especialistas e códigos demonstrando o conceito já foram criados, mas é a primeira vez que um vírus verdadeiro o utiliza. A vantagem do vírus é dispensar o acesso à conta a partir do computador do criminoso, criando menos rastros do crime e dificultando a identificação da transferência maliciosa pelo próprio banco, que verifica anomalias – como uma transferência realizada a partir de um computador que nunca acessou a conta.
Os vírus nacionais normalmente roubam as informações para que os criminosos realizem a transferência depois – algo que essa praga consegue fazer diretamente.
A praga é executada através de um complemento malicioso instalado pelo vírus no Internet Explorer. Quando a vítima acessa a sua conta, esse código realiza o golpe. Caso a vítima não tenha os R$ 5 mil na conta, o vírus verifica o saldo e transfere o que estiver disponível.
O código parece ter também uma função para pagar boletos, mas o funcionamento desse recurso ainda não está claro.
Como quase todos os outros vírus brasileiros, a praga chega em uma fraude por e-mail. O vírus foi obtido em uma amostra cedida por um internauta à Linha Defensiva, por meio do sistema que recebe essas denúncias – o ARIS.
O BankerFix, ferramenta de remoção de vírus bancários distribuída pela Linha Defensiva, removerá a praga a partir da próxima atualização.
[ Atualizado 03/08 às 15h ] O Bradesco enviou nota à Linha Defensiva afirmando que a conta não existe.
Trata-se de um vírus já conhecido do mercado. Quanto as informações da Agência e conta corrente constante no arquivo não são do Bradesco.
Acreditamos tratar-se de conta fictícia para teste do desenvolvedor
O vírus foi capturado pela Linha Defensiva no dia 21 de julho. Embora outras pragas semelhantes possam já estar em circulação, é a primeira vez que um ataque desse tipo foi anunciado publicamente no Brasil.
Altieres Rohr colaborou com a reportagem
Linha Defensiva 
Meu pai (depois de dois anos recusando-se a deixar o IE)pegou esse vírus em seu notebook no trabalho,onde o computador fica ligado a uma rede de outros PC’s. Precisa acessar o Bradesco para trabalhar. Rodei o BankerFix na última sexta-feira,assim como o Advanced System Care,e conseguimos logar normalmente na conta do Banco(antes,pedia-se para informar todos os dígitos do cartão de segurança bradesco em uma página falsa). Porém,o vírus retornou. Como ele deve proceder? Grato!
CurtirCurtir
Gabriel, esse vírus especificamente age apenas no Internet Explorer.
Se o problema está ocorrendo no Chrome, é provável que o vírus seja outro – e aí existem vários vírus que agem em qualquer navegador, como os vírus que usam proxies e arquivos Hosts.
CurtirCurtir
Como o vírus transfere via doc, se há a necessidade de se colocar um código para efetuar a transferência vindo de um token? Não entendi….
CurtirCurtir
Nem todos os bancos têm esse recurso, e no momento que o vírus controla a sessão do navegador ele pode exibir uma confirmação de token para qualquer outro motivo.
CurtirCurtir
Prezado, o post é até bacana, mas esse vírus já foi detectado a muito tempo (+/- uns dois anos). Sugiro que revise seu conteúdo a ser publicado. Eu ja tinha descoberto e analisado ele a muito tempo..
att,
Kesley Pinheiro
CurtirCurtir
O URLZone existe desde 2009, portanto três anos. Mas no Brasil é a primeira vez que está em uso, e não temos provas concretas de que esse trojan é uma variante do URLZone, portanto é possível que ele tenha sido criado aqui.
De qualquer forma, fique à vontade para dar links de cobertura da imprensa ou whitepaper de conferência mostrando sua análise; se não há nem um, nem outro, ficaria difícil a gente revisar o conteúdo baseado em uma informação que não foi divulgada.
CurtirCurtir
Com certeza essa empresa tem merda na cabeça, analisam de forma errônea e dão relatórios errados, claro que não vem cadastrados, é feito por comando externo, o vírus captura os dados e faz a transferencia ou pagamento, a comunicação é criptografada. Aff parece que tem merda na cabeça isso é BHO
CurtirCurtir
Sim, meu caro, claro que é BHO. Qual parte de “complemento do Internet Explorer” você não entendeu?
E sim, está programado no código do vírus. Fique à vontade para encontrar uma amostra do vírus e provar sua teoria.
CurtirCurtir
O que eu posso afirmar é que é controlado remotamente, não é tem nada de fazer sozinho, o comando é feito remotamente, e ja está sendo usado desde 2003 ou antes. E sim está sendo usado em outros navegadores. As empresas de segurança que estão super atrasadas.
CurtirCurtir
A sample analisada não instala complementos em outros navegadores e não é comandada remotamente. O código do arquivo carrega todas as informações que a praga precisa para efetuar o golpe, sem depender de comandos remotos. Se outro trojan brasileiro já usou a mesma técnica exposta aqui, então por favor, informe o link da análise onde a mesma foi publicada.
CurtirCurtir
Em 18 de julhofiz um pagamento via internet banking,depois, fui ao caixa eletrônico para fazer uma retirada, ao inserir o cartao recebia a mensagem que a operaçao estava indisponivel. Vários clientes, de vários bancos, tentavam fazer a retirada sem sucesso, em todos os caixas eletronicos e também nos caixas do bradesco dia e noite. No dia seguinte recebi uma ligaçao de um funcionário do Bradesco, informando que a minha conta foi vítima de tentativa de ataque de hacker, por isso o bloqueio da minha senha de internet e da chave de segurança. Mas, pelo que testemunhei em 6 caixas eletrônicos, sinceramente, o que aconteceu foi algum ataque ao sistema deles, até por que consegui comprar sem problema algum no débito. Como eu havia feito, dias antes a avaliação do log pelo linha defensiva, isso mostra pra mim, que realmente alguma coisa de vultuosa estava acontecendo. Nenhum valor foi retirado da minha conta, mas fiquei pouco tempo online, no internet banking, mas, como tres dias depois voces identificaram o vírus, talvez haja alguma ligação entre os dois fatos.
CurtirCurtir
Boa Noite, hoje fui vitima de Hacker, foi feito um doc D para conta de um MAURO GOMES, tocantins ag BRADESCO AG 725 C/C530491-1 porto nacional, gostaria de saber se tem como reaver esse dinheiro?
CurtirCurtir
Nós não acreditamos em falar demais e nos gabar! Somos hackers garantidos, confiáveis e certificados que ajudaram tantas pessoas, falando sobre ESTUDANTES, CASAIS E HOMENS DE NEGÓCIOS !!! Somos profissionais e estamos sediados na Europa, Ásia, América do Norte, Austrália e EUA, com nossos desenvolvedores de software indiscutível, podemos penetrar em qualquer site com o nosso algoritmo software que nunca pode ser rastreável, entre em contato conosco via CRAZYRUSSIANHACKERS1@GMAIL.COM —- ——————————
Se você precisa de um cartão ATM EM BRANCO, EMPRÉSTIMO DE LONGA DURAÇÃO, CARGA DE CONTAS BITCOIN Ou você quer mudar seus GRAUS ESCOLARES, CLARAM GRAVENS CRIMINAIS, RECUPERAR SUA IMPORTANTE CONTA EMAIL / SOCIAL MEDIA, ESPIAR EM SEU CUSTO CHEATING, TAMBÉM CARREGAMOS CONTAS BITCOIN BLOCK CHAIN SEM PAGAMENTO PRIMÁRIO, HACK DE ATM EM BRANCO, ANDROID E IPHONE HACK, HACK INSTAGRAM, HACK DE FACEBACK, TWITTER E WHATSAPP HACK, etc … Nossos trabalhos são 100% limpos e confidenciais … MENSAGEM nós agora em: CRAZYRUSSIANHACKERS1 @ GMAIL. COM
CurtirCurtir