Praga impede uso do Chrome.

… e do Firefox.

Cibercriminosos brasileiros estão realizando um ataque de roubo de dados por meio de uma praga capaz de sequestrar os navegadores no computador da vítima, exibindo uma notificação de software pirata, forçando-a “comprar” uma suposta licença de Windows original por 19,90. Com os dados da compra, os criminosos clonam o cartão de crédito da vítima.

A praga foi enviada ao ARIS-LD por um usuário e ainda possui baixa taxa de detecção pelos programas antivírus. Uma vez instalada no sistema, ela impede o uso dos navegadores Chrome e Firefox, forçando dessa forma a vítima a comprar a suposta licença.

Caso a vítima clique em “Exibir detalhes do problema”, a praga irá exibir uma mensagem falsa de notificação de software pirata, oferecendo uma suposta licença original do Windows por R$ 19,90, dando a entender que o usuário só conseguirá usar os navegadores caso compre a licença:

Aviso da praga digital diz que usuário está usando uma cópia pirata do Windows.

A notificação é totalmente falsa. O intuito do golpe é apenas capturar os dados de cartão de crédito — essa é a única forma disponibilizada pela praga para “comprar” a suposta licença:

Usuário deve preencher dados do cartão de crédito em tela da praga digital brasileira. (Foto: Reprodução)

Após inserir as informações, a praga irá enviar os dados para o criminoso, exibindo a seguinte tela:

Depois de receber os dados, acesso é novamente liberado.

A praga coleta os dados e as envia através de requisição a um formulário hospedado em um provedor gratuito:

Detalhe do envio de dados do ransomware. (Foto: ARIS-LD)

Não é a primeira vez que uma praga brasileira atua como um ransomware, pedindo dinheiro para liberar recursos bloqueados por ele mesmo. Em 2009 a Linha Defensiva registrou o caso de um falso antivírus chamado Byte Clark, que para limpar o sistema de “erros”, forçava a vítima a comprar o software.

A ferramenta gratuita BankerFix removerá os arquivos criados por essa infecção a partir da próxima atualização.

É ransomware?

Tradicionalmente, um ransomware é uma praga digital que impede o usuário de utilizar algum recurso do computador ou mesmo bloqueia os dados da vítima, exigindo um pagamento para o “resgate”. No caso da praga digital brasileira, o pagamento não é necessário para “liberar” o sistema, porque o objetivo da praga é roubar os dados do cartão, que será mais tarde usado para outros fins.

Por esse motivo, o funcionamento da praga digital é um tanto incomum e pode não ser considerado um ransomware.

Anúncios

Escrito por Redação Linha Defensiva

14 Comments

  1. Fernando M. Borges 07/11/2012 às 13:42

    É como eu tenho dito: não há limite para a maldade!

    Curtir

    Responder

  2. rafael souza 07/11/2012 às 13:52

    esta analise do envio de informação ‘e falsa o programa usa sql server para o envio… fiz a analize dele aqui. po G1 postando coisa falsa

    Curtir

    Responder

    1. Guilherme Scombatti 08/11/2012 às 00:57

      Rafael, esta análise é verdadeira sim, uma vez que não existe apenas uma versão deste programa malicioso. Existe versões que fazem POST e outras que utilizam banco de dados.

      Curtir

      Responder

      1. rafael souza 08/11/2012 às 02:17

        quem fez este programa é o hacker notronsite ele usa sql server nos post… nao existe variantes nem nada q seja post por http

        Curtir

      2. rafael souza 08/11/2012 às 02:18

        um absurdo uma analise falsa em um site serio

        Curtir

      3. A variante que posta por SQL é diferente desta. Considere ser uma imitação de alguma outra pessoa antes de acusar alguém de alguma coisa.

        Você acha mesmo que a Linha Defensiva iria decidir falsificar uma única informação (como o malware envia os dados), sendo que o resto da análise está correta? Ou seja, você sabe que o vírus existe, etc, que nada foi inventado… e aí por algum motivo iríamos inventar uma pequena informação, só para alguém vir aqui poder falar que é falso?

        Se não tivéssemos encontrado evidências de como o malware envia as informações, não teríamos colocado no artigo.

        Curtir

      4. rafael souza 08/11/2012 às 16:36

        sou o dono da kl sei q estou falando…
        se digo q a analise é falsa é porque eu sou o criador do fonte dela.

        Curtir

      5. Rafael,

        Essa é a versão analisada pelo Guilherme:
        http://www.crimelandia.com/2012/11/analise-de-um-ransomware-brasileiro/

        A versão que analisamos aqui é diferente. Compare as screenshots.

        Curtir

  3. Acreditar em Windows por R$19,90…só rindo msm…kkkkkkkkk

    Curtir

    Responder

  4. Acho que esta praga já estava em circulação há um bom tempo, eu enviei um “pacote” de malwares para a Sophos e vejam só a data dos arquivos, dia 26/10, são os mesmos arquivos da análise do Linha Defensiva e do Crimelândia.
    http://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Troj~DwnLdr-KIB/detailed-analysis.aspx

    Curtir

    Responder

    1. O MD5 do que analisamos não consta da página da Sophos. Nosso arquivo era o Microsoft.exe, não o wgastart.exe. Mas não sabemos quando exatamente o golpe começou a circular. Pode não ser novo, mesmo, mas ainda é “diferente”.

      Curtir

      Responder

  5. O ransoware brasileiro é muito fuleragi!!!

    Curtir

    Responder

  6. tamanha inteligência desperdiçada.

    Curtir

    Responder

  7. Rodrigo Santos 23/11/2012 às 14:49

    E é por isso que eu uso Ubuntu

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s