Não é novidade que os cibercriminosos brasileiros tentam, constantemente, novas formas para enganar os usuários – mas não é sempre que eles criam técnicas. A Kaspersky Lab identificou uma campanha de malware bancário utilizando o método BOM para confundir scanners de e-mail e infectar as vítimas – esta é a primeira vez que a técnica é utilizada no País e tem como alvo correntistas brasileiros e chilenos.
Criados por criminosos russos para distribuir malware de sistemas Windows, essa técnica foi descoberta em 2013 e consiste em adicionar o prefixo BOM (Byte Order Mark) para evitar a detecção. Campanhas de malware bancários dependem das famosas mensagens de phishing para aumentar o número de vítimas. O desafio dos criminosos russos era confundir os scanners de e-mail, então eles criaram um arquivo .ZIP com cabeçalho modificado para conseguir entregar as mensagens maliciosas nas caixas de correio dos usuários.
Ao tentar abrir o arquivo compactado utilizando o visualizador padrão do Windows Explorer, o usuário visualizará uma mensagem de erro, dizendo que este está corrompido. Ao analisá-lo, os especialistas da Kaspersky Lab perceberam que o cabeçalho do ZIP contém três bytes extras (0xEFBBBF), que representam o (BOM), antes da assinatura “PK” (0x504B), que é o padrão do ZIP. Já o BOM é encontrado normalmente em arquivos de texto com codificação UTF-8. O ponto é que algumas ferramentas não irão reconhecer este arquivo como um ZIP, elas o lerão como um arquivo de texto e não conseguirão abri-lo.
Entretanto, programas como WinRAR e 7-Zip simplesmente ignoram o prefixo e irão extrair seu conteúdo corretamente. Uma vez que o usuário faça isso, ele será infectado. Quando isso acontece, o malware atuará como ponte para baixar o malware principal.
Após uma sequência de processos que visam evitar a detecção das ações maliciosas, é baixado o malware principal: variantes malware Banking RAT que fica inoperante na máquina da vítima até que esta tente acessar seu Internet banking. Neste momento, ele começa a capturar tokens, código de acesso, data de aniversário, senha de acesso, entre outras formas de autenticação bancária.
“Identificamos atividades da campanha maliciosas usando o método BOM contra correntistas brasileiros e chilenos. Tecnicamente, ela é engenhosa e, por isso, é ingênuo esperar que com seis anos desde seu descobrimento ela não será efetiva. Os únicos usuários que contam com uma solução de segurança premiada não correm muitos riscos, porém quem não tem nenhuma proteção está vulnerável”, afirma Thiago Marques, analista de segurança da Kaspersky Lab.
