Nas últimas semanas, o ESET investigadores da América Latina têm trabalhado na análise e  investigação do  Trojan bancário afetando os usuários brasileiros de computador. Os criminosos perpetram esta especial ameaça  que surgiu com uma estrutura interessante para enganar os usuários e modificar seus sistemas para roubar dados particulares do povo. Para atingir seu objetivo o malware usa um plugin do Chrome malicioso para manusear as atividades dos usuários e enviar as credenciais roubadas aos criminosos via e-mail usando um site do governo brasileiro.

Trojans bancários são uma das ameaças mais comuns no Brasil e o mais lucrativo tipo de ataques que os cibercriminosos usam no país. O objetivo deste tipo de malware é roubar as credenciais de conta bancária dos usuários a fim de obter o dinheiro deles, permanecendo sem ser detectado, acessando-os com moderação.

Como um exemplo deste tipo de malware, a ameaça detectada pelo ESET produtos como MSIL/Spy.Banker.AU foi espalhada através de uma campanha de spam, infectando o computador dos usuários e instalando um Plugin malicioso do  Google Chrome para espionar atividades  da  vítima  na internet.

O executável principal associado com a campanha de spam atua como um conta-gotas, instalando um conjunto de arquivos DLLs e JavaScript  em lugares específicos dentro do sistema, incluindo o Google Chrome Plugin.

Quando o plugin malicioso é instalado, ele irá monitorar todos os sites visitados pela vítima potencial e desencadeia sua carga maliciosa se determinadas entidades financeiras brasileiras são acessadas. Uma vez que o usuário fizer logon em sua conta o malware irá registrar suas credenciais bancárias e enviá-las para o atacante.

Alguns dos arquivos que se fizeram passer pelo executável são detectados como:

Arquivo

Deteção

Microsoft.js

JS/Spy.banker.G

Service.js

JS/Spy.banker.G

Skype.js

JS/Spy.banker.G

Para atingir sua meta plugin só solicita determinados tipos de permissões conforme listado no arquivo de manifesto de plugin (Manifest.json), mas como o usuário não está ciente disto, que ela nunca vai descobrir que suas atividades estão sendo controladas.

 

Notamos que o uso desta técnica está em ascensão, porque a modificação do navegador da vítima ou instalaçao dos plugins malicioso dá aos cibercriminosos uma melhor taxa de sucesso quando seu objetivo é roubar informações privadas, incluindo e-mail, conta bancária ou credenciais de rede social. Para insights adicionais sobre as capacidades de um plugin do Google Chrome malicioso, eu convido você a rever o post de Aleksandr Matrosov sobre o Win32/Theola usando um plugin do Chrome para cometer fraudes bancárias.

Uma vez que o plugin é definido, será necessário extrair os dados roubados e enviar as informações para o atacante. Para atingir esse objetivo e permanecerem anônimos os atacantes usam uma técnica raramente vista, usando uma falha na configuração de um site do governo brasileiro.

Este erro de configuração permitiu aos atacantes usar uma conta de e-mail de gov.br para encaminhar os dados para duas contas de e-mail diferentes, hospedados por um dos serviços de email mais comumente usados.

 

Foram enviados dois tipos diferentes de e-mail, o primeiro e-mail foi acionado a cada nova infecção e o segundo que seria enviado quando as vítimas registradas em suas contas bancárias. Para esta finalidade, os scripts maliciosos são estruturados para consultar o URL que o usuário está visitando e se corresponde com a qualquer uma das instituições financeiras orientadas vai pegar os dados do formulário e armazená-los em um cookie, a fim de ser ultimamente enviado .

Como pode ser visto na imagem Manifest.json , scripts são acionados sempre que os usuários visitam um URL: estrutura comum de plugins do Google Chrome é tal que cada guia executará o arquivo chamado Service.js . A combinação das permissões solicitadas e o método incluído em cada um dos arquivos maliciosos de JavaScript  são responsáveis por analisar e buscar os campos do formulário e os dados de usuário.

Graças à colaboração do CERT. br estamos sendo capazes de desativar este ataque e bloquear as contas de e-mail relacionadas a esta ameaça, tendo sido capaz de informar as instituições afetadas e organizações sobre o ataque. O site afetado já foi corrigido para esta vulnerabilidade no seu servidor, invalidando qualquer tentativa adicional por ciber-criminosos a usar este site do governo para atividades maliciosas usando essa vulnerabilidade.

Sugerimos que você Leia o white paper (. pdf) para obter uma explicação detalhada sobre as técnicas utilizadas e análise deste segmento.

Fernando Catoira, analista de segurança
Pablo Ramos, pesquisador de segurança
Sebastian Bortnik, educação e gerente de pesquisa

Arquivo

hash

MulheresPerdidas.exe

f7d63175ff8b4959c425ad945e8e596e

Microsoft.js

6a944a7da3fc21b78f1a942ba96042a0

Service.js

6c1daaccd036cd602423f92af32cdc14

Skype.js

28174674f60ce4d3fb1ac8a74686b3ca

Vaio.dll

c9e20bdec9264bbb6de34c5dd7be0c79

 Original post: http://www.welivesecurity.com/2013/08/02/banking-trojan-chrome-government-mail-server/