Falso cronograma para saque do FGTS propaga malware bancário

Falso cronograma para saque do FGTS propaga malware bancário

Os cibercriminosos estão se valendo da medida anunciada pelo governo, em dezembro do ano passado, que permitirá o saque de contas inativas do FGTS.

Os cibercriminosos estão se valendo da medida anunciada pelo governo, em dezembro do ano passado, que permitirá o saque de contas inativas do FGTS.

Como já falamos em publicações anteriores, o uso de phishing (com assuntos que estão em destaque no momento) é uma das principais estratégias dos cibercriminosos para propagar malware e aplicar golpes. Desta vez, os atacantes estão se valendo da medida anunciada pelo governo, em dezembro do ano passado, que permitirá o saque de contas inativas do FGTS.

A mensagem do novo golpe trata-se da divulgação do cronograma para saque e, mesmo com as informações anunciadas pela Caixa Econômica Federal de que o calendário estaria disponível apenas a partir do próximo mês, tem levado a muitos usuários ansiosos a serem vítimas dessa fraude.

Caixa

Página da Caixa Econômica Federal.

Os cibercriminosos procuram convencer suas vítimas a abrirem um anexo malicioso que inicia uma sequência de downloads para, ao final, executar um banker na máquina e roubar os dados bancários do usuário.

Caixa2

Email de phishing que simula uma mensagem oficial da Caixa Econômica Federal.

Sequência do ataque

O ataque começa quando a vítima abre o anexo “CronogramaFGTS.pdf.html”. É interessante observar que o arquivo utilizado possui a extensão dupla “.PDF.HTML”, ou seja, os criminosos consideraram o fato do Windows (por padrão) ocultar extensões conhecidas de arquivo.

Nesse caso, a não ser que a configuração “ocultar extensão para tipos conhecidos” seja desativada, a extensão “.HTML” será ocultada. Essa é uma prática bastante comum, principalmente quando são executáveis como “.EXE”.

Caixa3

O conteúdo desse HTML malicioso é bastante simples, trata-se de uma tag REFRESH, apenas para que o navegador faça uma requisição para a URL indicada.

Caixa4

A requisição faz o download de um script Javascript (“CronogramaSaqueFGTS.PDF26.js”), que é executado, na sequência, pelo navegador. Esse script realiza o acesso a um FTP e executa o payload (“sigm.EXE”) na máquina da vítima.

Caixa5

Para impedir que o UAC seja ativado (usualmente chamado de “bypass UAC”) e evitar o aparecimento de um pop-up, que solicita ao usuário a permissão para a execução do aplicativo, o malware utiliza uma técnica conhecida como “bypass UAC sem arquivo”.

Caixa6

Ao final desse processo, o banker (i.e.: executável “sigm.EXE”), executado no dispositivo, verifica quais plugins de banco e antívirus estão instalados no computador; em seguida, reporta os dados para o C&C e apresenta telas falsas de bancos para a coleta de dados bancários, que também são enviados ao C&C.

Caixa7

Os bancos alvo desse banker são:

  • Banco do Brasil
  • Banrisul
  • Bradesco (NET Empresas)
  • Caixa Econômica Federal
  • Citi Bank
  • Itaú
  • Santander (e ContaSuper)
  • Sicoob
  • Sicredi

Painel administrativo

No C&C utilizado pelo banker, é possível acessar o painel administrativo e a lista das máquinas comprometidas.

Caixa8

No painel, podemos ver que até o final da manhã desta segunda-feira (30), 104 máquinas foram comprometidas, sendo que 55 delas possuem plugins bancários, chegando a um total de 92 plugins (já que algumas máquinas possuem mais do que um plugin instalado).

Na lista de máquinas comprometidas, é possível verificar informações como IP (público) do equipamento, data da infecção, sistema operacional, arquitetura da dispositivo, hostname, usuário, antívirus e plugins instalados.

Caixa9

A partir da geolicalização dos IPs da lista, também podemos realizar um levantamento das localidades mais afetadas pelo banker. Neste caso, o Sul e o Sudeste somam 82% do total de infecções:

Caixa10

Mantenha-se seguro!

Vimos que, no caso do post de hoje, o phishing foi desenvolvido com um grau a mais de sofisticação. A começar pelo tema, capaz de interessar a muitas pessoas, e pela sucessão de malware e técnicas utilizadas, que funcionam em todas as versões do Windows (tanto em 32 bits quanto em 64 bits).

Confira algumas dicas para manter-se seguro dessa e de outras ameaças:

  • Não abra anexos inusitados, principalmente se vier de origem desconhecida. Caso o assunto seja de interesse público, procure verificar a informação antes de abrir o anexo.
  • Utilize soluções de segurança de boa reputação. Para evitar o comprometimento das máquinas, é interessante utilizar filtro de email, antimalware, controle web, proteção de DNS, entre outros. Caso alguma dessas soluções bloqueie alguma etapa da sequência de execução, o malware não funcionará.
  • Reforce as políticas de segurança implantadas no ambiente. Filtrar HTML de emails recebidos, elevar o nivel de configuração do UAC, dentre outras configurações, podem evitar que esse e outros malware afetem o seu computador.

Participe! Caso tenha recebido um email “suspeito”, compartilhe sua experiência nos comentários deste post.

Para mais informações, leia também outras dicas sobre como reconhecer e evitar o phishing.

Amostras analisadas:

Caixa11

Discussão