A Linha Defensiva descobriu um novo banker que bloqueia o acesso ao site, exibindo uma página falsa informando que o site foi invadido. A mensagem afirma que “tudo foi apagado, inclusive os backups”. O criador do malware impediu o acesso ao site provavelmente para evitar que usuários infectados solicitem ajuda e removam a praga.

O bloqueio do site também pode ser uma forma de “vingança” por parte do criminoso, já que a Linha Defensiva já desarticulou diversos golpes brasileiros. O cracker em questão provavelmente já foi “prejudicado” por isso.

“]Tela da Linha Defensiva (Foto: Reprodução)

Página falsa apresentada pelo vírus quando vítima tenta acessar a Linha Defensiva. (Foto: Reprodução)

Como ocorre a infecção

A infecção ocorre por meio da execução de um applet Java malicioso injetado em sites legítimos que foram hackeados.  A página usada para disseminar o golpe estava completamente desfigurada, exibindo informações como o número de usuários infectados e outros sites provavelmente invadidos pelo mesmo criminoso.

Usuários com o Java desatualizado são infectados automaticamente ao acessar a página, enquanto os que estão com o programa atualizado recebem uma janela de confirmação para executar o instalador do vírus em Java. Ao executar o programa, a infecção é instalada no sistema do internauta para capturar senhas de bancos, de companhias aéreas e de sistemas do governo.

Para ocultar-se no sistema, o código malicioso cria um arquivo de nome idêntico ao utilizado para atualizar o Google Chrome, porém, em uma pasta chamada Contemp. Esse arquivo inicia-se sempre com o Windows, sendo responsável por “configurar” o vírus.

Após a execução, a vítima corre o risco de ter seus dados roubados, já que são adicionadas diversas entradas maliciosas no arquivo Hosts do Windows, apontando para páginas falsas de bancos e outros serviços online. Além disso, também é configurado um proxy malicioso, que tem a função de redirecionar sites como a Linha Defensiva para páginas falsas. Esse golpe é conhecido como “pharming” e é muito utilizado em infecções por bankers, como se chamam genericamente os vírus que roubam senhas bancárias.

As páginas criadas pelo criminoso contêm muitos erros, facilitando a identificação do golpe.

Como se proteger

Para se proteger do malware, basta manter o navegador e o Java atualizados. Desativar o plugin do Java nos navegadores também é uma forma efetiva de prevenção, pois isso evita a execução do programa, não importando sua versão. Mensagens de e-mail com links suspeitos devem ser sempre evitadas, pois são muito comuns no Brasil.

Diversos temas são recorrentes nessas mensagens; confira o Catálogo de Fraudes do CAIS e a seção de Boatos e Fraudes da Linha Defensiva para conhecer alguns exemplos.

O BankerFix removerá a praga a partir da sua próxima atualização.

Anúncios

Escrito por Giovane Martins

Acadêmico de Filosofia - Licenciatura pela Pontifícia Universidade Católica do Rio Grande do Sul (PUCRS). Bolsista de Iniciação Científica do Conselho Nacional de Desenvolvimento Científico e Tecnológico (CNPq), sendo membro do grupo de pesquisas Filosofia e Interdisciplinaridade, sob a orientação do prof. Dr. Agemir Bavaresco. Realiza pesquisas nos seguintes temas: Opinião Pública, Democracia e Representação Política. É pesquisador do Centro de Estudos em Filosofia Americana (CEFA), sob a orientação do prof. Dr. Paulo Ghiraldelli Jr., participando do grupo de pesquisa Filosofia e Subjetividade, da Universidade Federal Rural do Rio de Janeiro (UFRRJ), trabalhando com o tema da teoria das esferas do filósofo alemão Peter Sloterdijk. Membro do GT da ANPOF "Semiótica e Pragmatismo" e membro associado da The Richard Rorty Society. Site pessoal: http://www.giovanemartins.com.br/

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s