A Linha Defensiva descobriu um novo banker que bloqueia o acesso ao site, exibindo uma página falsa informando que o site foi invadido. A mensagem afirma que “tudo foi apagado, inclusive os backups”. O criador do malware impediu o acesso ao site provavelmente para evitar que usuários infectados solicitem ajuda e removam a praga.
O bloqueio do site também pode ser uma forma de “vingança” por parte do criminoso, já que a Linha Defensiva já desarticulou diversos golpes brasileiros. O cracker em questão provavelmente já foi “prejudicado” por isso.
Página falsa apresentada pelo vírus quando vítima tenta acessar a Linha Defensiva. (Foto: Reprodução)
Como ocorre a infecção
A infecção ocorre por meio da execução de um applet Java malicioso injetado em sites legítimos que foram hackeados. A página usada para disseminar o golpe estava completamente desfigurada, exibindo informações como o número de usuários infectados e outros sites provavelmente invadidos pelo mesmo criminoso.
Usuários com o Java desatualizado são infectados automaticamente ao acessar a página, enquanto os que estão com o programa atualizado recebem uma janela de confirmação para executar o instalador do vírus em Java. Ao executar o programa, a infecção é instalada no sistema do internauta para capturar senhas de bancos, de companhias aéreas e de sistemas do governo.
Para ocultar-se no sistema, o código malicioso cria um arquivo de nome idêntico ao utilizado para atualizar o Google Chrome, porém, em uma pasta chamada Contemp. Esse arquivo inicia-se sempre com o Windows, sendo responsável por “configurar” o vírus.
Após a execução, a vítima corre o risco de ter seus dados roubados, já que são adicionadas diversas entradas maliciosas no arquivo Hosts do Windows, apontando para páginas falsas de bancos e outros serviços online. Além disso, também é configurado um proxy malicioso, que tem a função de redirecionar sites como a Linha Defensiva para páginas falsas. Esse golpe é conhecido como “pharming” e é muito utilizado em infecções por bankers, como se chamam genericamente os vírus que roubam senhas bancárias.
As páginas criadas pelo criminoso contêm muitos erros, facilitando a identificação do golpe.
Como se proteger
Para se proteger do malware, basta manter o navegador e o Java atualizados. Desativar o plugin do Java nos navegadores também é uma forma efetiva de prevenção, pois isso evita a execução do programa, não importando sua versão. Mensagens de e-mail com links suspeitos devem ser sempre evitadas, pois são muito comuns no Brasil.
Diversos temas são recorrentes nessas mensagens; confira o Catálogo de Fraudes do CAIS e a seção de Boatos e Fraudes da Linha Defensiva para conhecer alguns exemplos.
O BankerFix removerá a praga a partir da sua próxima atualização.
Linha Defensiva 