Trojans Bankers que alteram o proxy do navegador já são conhecidos dos brasileiros há algum tempo. Entretanto, um detalhe dessa técnica pode ainda fazer muitas vítimas e passar desapercebido do usuário.
No início do mês recebi um phishing do tipo “Oi, veja minha foto...”, baixei o malware e fiz a engenharia reversa. Localizei a URL de um segundo malware e ao reverter esse descobri que inseria uma URL contendo um script de configuração de proxy no navegador da vítima:
http://www.gifgroup.ru/includes/file.pac
Para quem não sabe, proxy é uma aplicação muito utilizada nas empresas, principalmente para redirecionar a navegação, controlar o acesso a sites, armazenar as páginas mais utilizadas em cache para acelerar a navegação, dentre outras funções. Um dos mais conhecidos é o Squid.
Os criminosos utilizam esse sistema para redirecionar, de forma transparente, suas vítimas para sites falsos quando elas digitam o endereço verdadeiro. Isso ocorre principalmente com os sites bancários.
Esse caso analisado utilizava a página do Banco do Brasil. Então, com o proxy configurado pelo malware, quando eu digitar no navegador www.bb.com.br ele exibirá uma página falsa do BB porém o endereço que irá aparecer no navegador será o verdadeiro do site.
Isso torna o golpe mais convincente e de difícil detecção, principalmente pelos usuários domésticos. Pode-se pensar: se o endereço que está aparecendo no meu navegador é o verdadeiro do site porque a página seria falsa?
Veja abaixo o vídeo demonstrando o phishing.
Ronaldo Lima
crimesciberneticos.com | twitter.com/crimescibernet
Belo trabalho, como sempre!
ResponderExcluirMelhor se houvesse a narração dos vídeos!
[]´s
Excelente, como nas outras postagens.
ResponderExcluirParabéns!
Higor Vinicius Nogueira Jorge
www.higorjorge.com.br
www.twitter.com/higorjorge
valeu, muito interessante. Mas vcs sabem como remover ? No meu IE8 entrou "http://wwz.t4conf.com:8083/connect.dat" e não adianta remover, usar avastr free ou hijackthis...
ResponderExcluirOlá Antonio,
ResponderExcluirNunca peguei um computador ifectado com o proxy alterado mas imagino que esse proxy que ele adiciona fica em uma chave no registro do Windows.
Tenta entrar no Windows pelo modo de segurança, executa o regedit e busca por uma chave que contenha alguma palavra relacionada ao proxy como por exemplo t4conf.com. Aí vc apaga todas as URLs encontradas.
Abraços,
Ronaldo
Ola estou com o script http://wwz.t4conf.com:8083/connect.dat no meu navegador IE8 e mesmo removendo no regdit ele volta a aparecer no mesmo instante que mudo de pasta.
ResponderExcluirQuem souber como remover por favor me avise!
Postem aqui.
Abraço.
pq vc n vai atraz do q fazer cara, voce sabe q mesmo falando isso alguem vai vir e criar uma coisa nova, pq vc num vai estudar, bater punheta fumar maconha, deixa pros titio trabalhar ;)
ResponderExcluirEsse espaço é democrático e aberto para qualquer um deixar sua opinião, sendo essa opinião favorável ou não. Apenas não são aceitos palavrões.
ResponderExcluirApesar das palavras pouco cultas resolvi deixar esse comentário acima para termos um exemplo do perfil do indivíduo que realiza esses crimes.
Se estão se sentindo incomodados com o que faço e escrevo é um bom sinal! :)
Abraços!
Isso só mostra como o seu trabalho esta incomodando os praticantes deste tipo de crime, e inspirando novas pessoas as buscar estudos para alcançar o mesmo nivel tecnico que vc possui, parabens continue assim.
ResponderExcluirParabens ai, cara, muito bom video e conteudo, vou utilizar em minha apresentação sobre phishing na faculdade.
ResponderExcluirvlw, e continue assim que ganhou um novo frequentador^^.