Campanha de malware bancário tem brasileiros na mira

A empresa de segurança FireEye voltou a emitir alerta sobre uma categoria de trojan que mira diretamente os usuários brasileiros de internet banking. O Metamorfo, como foi chamado pelos especialistas, utiliza e-mails falsos para levar a vítima a clicar em links maliciosos ou baixar arquivos infectados que, na sequência, servem para tentar captar dados digitados ou informações exibidas na tela.

São duas variantes da campanha de infecção, ambas começando a partir de mensagens falsas de correio eletrônico, um dos truques mais antigos e eficazes para golpes desse tipo. Em uma das instâncias, o e-mail traz um arquivo HTML anexo; quando aberto, ele leva o usuário a fazer o download da praga a partir de um serviço legítimo de cloud computing, como o Dropbox ou Google Drive. Em uma alternativa, o texto também pode conter o link direto para a praga.

Seja qual for o caminho, a ideia é levar a vítima a baixar o arquivo e executá-lo, alegando se tratar de um software de segurança bancária, um boleto para pagamento, comprovantes de transferência ou informações sobre uma possível dívida. Nem é preciso falar que tudo não passa de informação falsa, que tenta se aproveitar da falta de conhecimento dos usuários ou de um possível susto pelo recebimento de faturas de alguns milhares de reais, o que levaria a um comportamento impensado.

Uma vez executado e instalado, o malware é capaz de analisar o sistema e impedir o funcionamento de softwares de segurança e firewall, bloqueando sua execução com o Windows ou fechando-os caso estejam ativos. Ao mesmo tempo, a praga também analisa os programas abertos em busca de navegadores que possam dar continuidade ao golpe.

Ao ter sucesso nessa etapa, o malware compara os títulos das abas e janelas abertas com uma lista de nomes de bancos e instituições financeiras, bem como sites de moedas virtuais, meios de pagamento ou transferência de dinheiro. Quando uma coincidência é detectada, screenshots da tela começam a ser capturadas, bem como todos os posicionamentos de cliques e digitações realizadas.

Uma segunda variante, ainda mais avançada, é capaz de detectar o acesso a plataformas desse tipo e substituir os campos originais dos sites por versões controladas pelos criminosos. Uma vez de posse das informações, o malware envia remotamente os dados para servidores controlados pelos criminosos.

No caso da segunda versão do Metamorfo, essa ação pode acontecer de diferentes maneiras, com direito até mesmo à exibição de uma tela falsa de atualização do Windows enquanto a conexão com o servidor acontece e os arquivos são enviados. O malware continua funcionando e captando informações mesmo depois desse processo, mas é aqui que o golpe já pode ser considerado bem-sucedido pelos criminosos.

As amostras analisadas pela FireEye exibem uma praga focada especificamente em brasileiros. Como se os nomes de bancos e instituições nacionais não fossem suficientes para isso, a praga ainda é capaz de analisar IPs e interromper sua execução caso determine que o acesso não está sendo realizado a partir de nosso país, permanecendo inativa no sistema.

Mais de cinco mil pessoas já teriam sido infectadas pelas variantes do Metamorfo, de acordo com logs encontrados no próprio código-fonte da praga. Como se trata de um dos truques mais velhos quando o assunto são ataques virtuais, é bem possível que mais versões da praga estejam circulando por aí, aumentando significativamente tais números.

Tão velhas quanto o método de infecção são as recomendações para se proteger. Seu banco não vai entrar em contato por e-mail para oferecer o download de soluções de segurança e, muito menos, avisar sobre dívidas ou depósitos realizados.

É bom sempre desconfiar de arquivos recebidos por e-mail, mesmo que eles venham de contatos conhecidos ou fontes seguras. Evite ao máximo executar aplicações desse tipo caso não tenha a certeza absoluta de que o anexo efetivamente foi enviado, de forma legítima, pelo remetente. Caso desconfie, delete a mensagem e siga sua vida.