Proxy no navegador

Neste post irei explicar sobre um malware que configura um endereço de proxy para roubar dados bancários. Infelizmente não tenho o e-mail deste malware, somente o link.

Abaixo seguem algumas informações do arquivo.

Link:
http://www.financi***mix.co.za/js/curriculum.com

Arquivo:
Arquivo: curriculum.com
Tamanho: 25088
MD5: 7cf8cbf21a4d781e923579bb65a91c7f Resultado Scan VirusTotal/Jotti
5 / 42

Detalhes da infecção: Quando a vítima dá dois cliques sobre o malware, é configurado automaticamente um endereço de proxy no(s) navegador(es) de internet, onde após esta configuração, uma janela do navegador Internet Explorer (ou qualquer outro navegador padrão do computador) é aberta na página do Google.com.br. Abaixo uma imagem do proxy configurado no navegador Internet Explorer.

Segue abaixo o conteúdo do arquivo (p.jsp) proxy:

Na imagem acima o código do arquivo proxy está meio confuso para se ler, então segue abaixo algumas informações:

IP do proxy: 200.98.***.138

Sites alvos: Santander, Santander Empresarial, Banese, Bancosafra, Brb, Hotmail, Hsbc, Banco do Brasil, Caixa, Bradesco, Basa, Itaú, Citibank, Sicredi, Serasa, American Express.

Com o proxy configurado em meu navegador Internet Explorer, acessei um dos sites alvo, o do Banco do Brasil (www.bb.com.br), segue abaixo a imagem:

Visualizando a imagem acima, é possível imaginar que realmente se trata de uma página do Banco do Brasil, isso porque o endereço está http://www.bb.com.br e o site está muito bem montado contendo as cores, logotipo e textos do Banco do Brasil.

Informei nos 3 campos (agência, conta e senha) números falsos e cliquei em  “Entrar”. Na próxima página é necessário informar o número do cartão, data de validade, o código de segurança, a naturalidade do titular do cartão e a senha do cartão para poder acessar o internet banking. Segue abaixo a imagem:

Preenchi todos os campos com informações falsas e cliquei no botão de “Entrar”. Na próxima página a confirmação da senha de 4 dígitos é solicitada. Segue abaixo a imagem:

Informei qualquer coisa na confirmação da senha e cliquei em “Entrar”. Na última página uma mensagem é exibida: “Seus dados foram atualizados com sucesso em nossos sistemas. Agradecemos sua colaboração.”. Segue a imagem abaixo:

Não vou fazer a análise de todas as páginas que o proxy malicioso trabalha, foi feita a análise da página do Banco do Brasil com proxy, mas podem ter certeza de que as outras páginas falsas vão seguir o mesmo modelo, ou seja, vão solicitar várias informações bancárias. Bancos não solicitam atualizações de informações bancárias, dados de cartões etc. Desconfiem sempre.

Share Button

Comentários

comments

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 58 access attempts in the last 7 days.