sexta-feira, 4 de agosto de 2017

Malware que visa o Brasil continua se espalhando por e-mails | Virtues Media Portal de Notícias

Malware que visa o Brasil continua se espalhando por e-mails

Palo Alto Networks detectou 9.125 amostras do spam malicioso associado como o Banload, uma família de cavalo de Tróia que faz download de outros malwares.


A Palo Alto Networks identificou uma nova forma de malware que está se espalhando por e-mails dos brasileiros. Desde dezembro de 2013, a empresa detectou 9.125 amostras do spam malicioso (malspam) associado como o Banload, uma família de cavalo de Tróia que faz download de outros malwares. Somente neste ano, foram detectadas 2.113 amostras desse malware. O processo de infecção acontece em várias etapas. No ataque, os usuários recebem uma mensagem que afirma ser a terceira e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura com um arquivo para ser baixado. Ao baixar o que o usuário acredita ser um boleto IPTU, ele salva em seu computador um arquivo zip contendo um Windows executável e um arquivo DLL malicioso e a princípio nada acontece.

A próxima parte da infecção acontece quando o usuário precisa utilizar o sistema bancário online. No Brasil, a maioria dos bancos utiliza um plugin de segurança bancária chamado G-Buster Browser Defense, desenvolvido pela GAS Tecnologia. Dentro dele, há um executável chamado GbpSv.exe que foi projetado para carregar um arquivo DLL nomeado fltLib.dll.

Em ambos os arquivos, é possível identificar a presença de um DLL, que é o componente verdadeiramente malicioso dos dois itens. A técnica de carregar DLL malicioso usando um arquivo legítimo executável é conhecida como Side Loading (carregamento lateral). Ela é cada vez mais usada pelos criminosos para esconder o conteúdo malicioso em arquivos DLL. O arquivo DLL parece ser malware de botnet e provavelmente possui um componente de roubo de informações comum a outros malwares vistos neste tipo de malspam brasileiro.

Confira o passo a passo de como essa infecção acontece:

Passo 1


Os usuários recebem uma mensagem que afirma ser a 3ª e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura, com um link gerado pelo serviço de encurtador de URL do Google.


Passo 2 Ao clicar na URL do e-mail, o usuário é redirecionado para um endereço do Dropbox, onde é fornecido um arquivo zip para a vítima baixar.

Nenhum comentário:

Postar um comentário