Malware que visa o Brasil continua a evoluir

Ameaça está se espalhando por e-mails brasileiros e está associado como “Banload”, uma espécie de trojan que realiza download de outros malwares, e vem disfarçado como arquivo para pagamento de IPTU

Compartilhar:

A Palo Alto Networks identificou uma nova forma de malware que está se espalhando pelos e-mails dos brasileiros. Desde dezembro de 2013, a empresa detectou 9.125 amostras do spam malicioso (malspam) associado como “Banload”, uma família de Cavalo de Tróia que faz download de outros malwares. Somente em 2017, foram detectadas 2.113 amostras desse malware.

 

O processo de infecção acontece em várias etapas. No ataque, os usuários recebem uma mensagem que afirma ser a 3ª e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura com um arquivo para ser baixado.

 

Ao baixar o que o usuário acredita ser um boleto IPTU, ele salva em seu computador um arquivo zip contendo um Windows executável e um arquivo DLL malicioso e a princípio nada acontece.

 

A próxima parte da infecção acontece quando o usuário precisa utilizar o sistema bancário online. No Brasil, a maioria dos bancos utiliza um plugin de segurança bancária chamado G-Buster Browser Defense, desenvolvido pela GAS Tecnologia. Dentro dele, há um executável chamado GbpSv.exe que foi projetado para carregar um arquivo DLL nomeado fltLib.dll.

 

Em ambos os arquivos, é possível identificar a presença de um DLL, que é o componente verdadeiramente malicioso dos dois itens. A técnica de carregar DLL malicioso usando um arquivo legítimo executável é conhecida como Side Loading (carregamento lateral). Ela é cada vez mais usada pelos criminosos para esconder o conteúdo malicioso em arquivos DLL. O arquivo DLL parece ser malware de botnet e provavelmente possui um componente de roubo de informações comum a outros malwares vistos neste tipo de malspam brasileiro.

 

Confira o passo a passo de como essa infecção acontece

 

Passo 1

 

 

Os usuários recebem uma mensagem que afirma ser a 3ª e última notificação para o pagamento do IPTU (Imposto Brasileiro, Territorial e Urbano) da Prefeitura, com um link gerado pelo serviço de encurtador de URL do Google.

 

Passo 2

 

 

Ao clicar na URL do email, o usuário é redirecionado para um endereço do Dropbox, onde é fornecido um arquivo zip para a vítima baixar.

 

Passo 3

 

 

Ao clicar duas vezes no atalho baixado, o usuário do Windows abre a pasta infectada e deixa o seu computador vulnerável para o ataque

 

Passo 4

 

 

A pasta zipada contém um atalho para o Microsoft Windows com dois arquivos: um Windows executável e legítimo e um arquivo DLL malicioso. A técnica conhecida como Squiblydoo extrai e armazena no usuário do Windows o arquivo infectado em um diretório de nome aleatório sob a pasta AppData/Local/Roaming do usuário.

 

Passo 5

 

 

Paralelo a isso, o usuário instala em seu computador um plugin bancário do G-Buster Browser Defense, originalmente desenvolvido pela GAS Tecnologia. Diebold adquiriu a GAS Tecnologia em 2012 e a versão mais recente desse software é chamada Diagnóstico Warsaw. Nos últimos anos, esse sistema tem sido usado por diversas instituições financeiras no Brasil para prevenir fraudes bancárias garantindo uma identificação correta entre o computador do usuário, o banco e a conta bancária. O componente executável do G-Buster não é malicioso, embora esta versão específica não esteja mais em uso. Originalmente chamado GbpSv.exe, este é um executável assinado que geralmente não mostrará como malware pela maioria dos programas antivírus.

 

Tráfego pós-infecção

 

Durante os testes, a Palo Alto Networks identificou que o tráfego pós-infecção consistiu em uma única solicitação HTTP POST que retornou informações sobre outros usuários infectados. Foram detectados dados em mais de 400 computadores Windows infectados no texto de retorno deste pedido HTTP. A maioria dos usuários infectados estava localizada no Brasil, mas também foram encontrados usuários na Argentina, República Tcheca e Rússia.

 

 

Conclusão

 

O Google e o Dropbox foram notificados sobre as URLs maliciosas e os clientes da Palo Alto Networks estão protegidos contra esse tráfego. Uma infecção semelhante com características de correspondência foi observada em julho de 2017 e é uma tendência que deve continuar.

 

Os usuários localizados no Brasil ou pessoas que usam serviços bancários on-line brasileiros devem estar cientes dessa ameaça e tomar as precauções necessárias, como não clicar em links em e-mails suspeitos. A Palo Alto Networks continuará a investigar esta atividade e aprimorar a plataforma de prevenção de ameaças.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Jaguar Land Rover confirma vazamento de dados em ciberataque

Em nova atualização sobre o incidente cibernético que paralisou fábricas e pontos de venda da montadora, foi informado que o...
Security Report | Destaques

Novas normas de SI do Bacen ampliam foco sobre Ecossistema seguro, apontam CISOs

Líderes de Segurança da Informação ligados ao sistema financeiro apoiaram as novas exigências de Segurança para que instituições financeiras possam...
Security Report | Destaques

J.Macêdo aposta em unificação de infraestrutura para reforçar segurança

Durante o Security Leaders Fortaleza 2025, empresa cearense destaca como modernizou suas operações para garantir continuidade produtiva e reduzir riscos...
Security Report | Destaques

“Não basta proteger sistemas, temos que garantir serviços digitais com segurança ao cidadão”, diz Prodeb

Durante o Security Leaders Fortaleza 2025, a Companhia de Processamento de Dados do Estado da Bahia (Prodeb) apresentou seu novo...