Falhas de Segurança

Criminosos brasileiros importam método de arquivo Zip com BOM para infectarem vítimas

Criminosos brasileiros importam método de arquivo Zip com BOM para infectarem vítimas

É a primeira vez que esta tática é usada no País e visa disseminar malware bancário no Brasil e Chile

São Paulo, 03 de abril de 2019 – Não é novidade que os cibercriminosos brasileiros tentam, constantemente, novas formas para enganar os usuários – mas não é sempre que eles criam novas técnicas. A Kaspersky Lab identificou uma campanha de malware bancário utilizando o método BOM para confundir scanners de e-mail e infectar as vítimas – esta é a primeira vez que a técnica é utilizada no País e tem como alvo correntistas brasileiros e chilenos. Os usuários dos produtos da companhia estão protegidos deste ataque.

Criados por criminosos russos para distribuir malware de sistemas Windows, essa técnica foi descoberta em 2013 e consiste em adicionar o prefixo BOM (Byte Order Mark) para evitar a detecção. Campanhas de malware bancários dependem das famosas mensagens de phishing para aumentar o número de vítimas. O desafio dos criminosos russos era confundir os scanners de e-mail, então eles criaram um arquivo .ZIP com cabeçalho modificado para conseguir entregar as mensagens maliciosas nas caixas de correio dos usuários.

Ao tentar abrir o arquivo compactado utilizando o visualizador padrão do Windows Explorer, o usuário visualizará uma mensagem de erro, dizendo que este está corrompido. Ao analisá-lo, os especialistas da Kaspersky Lab perceberam que o cabeçalho do ZIP contém três bytes extras (0xEFBBBF), que representam o (BOM), antes da assinatura “PK” (0x504B), que é o padrão do ZIP. Já o BOM é encontrado normalmente em arquivos de texto com codificação UTF-8. O ponto é que algumas ferramentas não irão reconhecer este arquivo como um ZIP, elas o lerão como um arquivo de texto e não conseguirão abri-lo.

Entretanto, programas como WinRAR e 7-Zip simplesmente ignoram o prefixo e irão extrair seu conteúdo corretamente. Uma vez que o usuário faça isso, ele será infectado. Quando isso acontece, o malware atuará como ponte para baixar o malware principal.

Após uma sequência de processos que visam evitar a detecção das ações maliciosas, é baixado o malware principal: variantes malware Banking RAT que fica inoperante na máquina da vítima até que esta tente acessar seu Internet banking. Neste momento, ele começa a capturar tokens, código de acesso, data de aniversário, senha de acesso, entre outras formas de autenticação bancária.

“Identificamos atividades da campanha maliciosas usando o método BOM contra correntistas brasileiros e chilenos. Tecnicamente, ela é engenhosa e, por isso, é ingênuo esperar que com seis anos desde seu descobrimento ela não será efetiva. Os únicos usuários que contam com uma solução de segurança premiada não correm muitos riscos, porém quem não tem nenhuma proteção está vulnerável”, afirma Thiago Marques, analista de segurança da Kaspersky Lab.

Todos os produtos da companhia estão aptos a extrair e analisar arquivos comprimidos contendo Byte Order Mark, além de já identificarem e bloquearem o malware usado neste golpe.

Mais informações sobre a ataque estão disponíveis no Securelist.com.

Via Kapersky Lab & Securelist / Imagem via Pixabay

Recomendados Para Você:

Sobre o autor

ataliba

Pai, marido, e analista de Sistemas que nos últimos anos se especializou em Linux e Unix e adora redes. Por este motivo celulares se tornaram seus grandes companheiros e no Android achou a mesma facilidade de personalização que tinha nos Linuxes.
A partir daí desenvolveu grande paixão pelo sistema operacional e é sobre isto que falará aqui.

Siga-nos nas Redes Sociais




Que tal nos acompanhar via Sparkle ?

Acompanhe nosso blog via Sparkle
Que tal nos acompanhar via Sparkle ? Asssine nossa trilha e receba nosso conteúdo automaticamente no seu smartphone.

/* ]]> */