Uma campanha de cibercrime está a tentar infetar computadores em Portugal através de documentos aparentemente corrompidos. Depois de entrar no equipamento, o programa malicioso aguarda pelo acesso ao banco para roubar credenciais e controlar a sessão à distância.
De acordo com a Pplware, os investigadores da Fortinet alertaram para uma nova campanha que utiliza o trojan bancário Ousaban para atacar utilizadores de serviços financeiros em Portugal e Espanha.
A ameaça, inicialmente associada a ataques no Brasil, evoluiu e passou a recorrer a técnicas mais sofisticadas para evitar a deteção. A campanha identificada pelo FortiGuard Labs afeta computadores com o sistema operativo Windows e foi classificada com um nível de gravidade elevado.
Os criminosos conseguem verificar a localização e outras características do equipamento antes de descarregarem o ficheiro malicioso, reduzindo assim a possibilidade de serem descobertos por investigadores ou sistemas automáticos de segurança.
Ataque começa com um PDF aparentemente corrompido
A tentativa de fraude começa com a receção de um email de phishing que contém um PDF. Ao abrir o documento, a vítima é informada de que o ficheiro está corrompido e recebe a indicação para carregar num botão com a palavra “Atualizar”.
Esse botão conduz a uma página fraudulenta que procura imitar um portal legítimo de documentos fiscais ou de instalação de programas. Antes de avançar, o site analisa dados como o endereço IP, o idioma, o fuso horário e outras informações do dispositivo.
Caso o utilizador não se encontre em Portugal ou Espanha, o ataque é automaticamente interrompido. Esta técnica, conhecida como geofencing, permite que os criminosos escondam a campanha de quem não faça parte do grupo escolhido como alvo.
Vírus está escondido dentro de uma imagem
Quando o equipamento cumpre os critérios definidos pelos atacantes, a página descarrega um ficheiro de script que inicia a segunda fase da infeção.
Esse ficheiro descarrega uma imagem aparentemente inofensiva, semelhante a um ícone de PDF, mas que contém um arquivo ZIP escondido. Para ocultar o conteúdo, os responsáveis recorrem a uma técnica chamada esteganografia.
Depois de extrair e instalar o Ousaban, o programa elimina vários dos ficheiros utilizados durante o processo, dificultando a identificação da origem da infeção e uma eventual análise posterior.
Trojan espera que a vítima entre no banco
Depois de instalado, o Ousaban permanece no computador e aguarda que o utilizador aceda ao serviço de banca online.
A Fortinet identificou referências a mais de duas dezenas de instituições financeiras da Península Ibérica. Entre os bancos visados encontram-se a Caixa Geral de Depósitos, o Millennium BCP, o BPI, o Novobanco, o Santander, o BBVA, o CaixaBank e o Banco Sabadell.
Quando deteta que a vítima entrou numa das páginas monitorizadas, o programa pode registar as teclas premidas, captar imagens do ecrã, alterar conteúdos copiados e dar aos criminosos controlo remoto sobre o computador.
Criminosos podem mostrar páginas bancárias falsas
O vírus também consegue apresentar janelas falsas por cima do verdadeiro serviço de banca online, levando o utilizador a introduzir palavras-passe, códigos de segurança ou outros dados confidenciais.
As comunicações com os servidores controlados pelos atacantes são cifradas. Além disso, os endereços utilizados podem mudar diariamente, o que dificulta o seu bloqueio pelas ferramentas de segurança.
A campanha depende, contudo, de uma ação inicial da vítima. Os especialistas recomendam que não sejam abertas ligações ou descarregados ficheiros recebidos em mensagens inesperadas, sobretudo quando um documento afirma estar corrompido e pede uma atualização.
Este detalhe no PDF deve levantar suspeitas
Os utilizadores devem confirmar o endereço das páginas antes de introduzirem credenciais bancárias e manter o sistema operativo e o antivírus atualizados.
Um PDF não precisa de uma atualização através de um botão incluído no próprio documento. Sempre que surgir uma mensagem deste género, o ficheiro deve ser fechado e o remetente confirmado por outro meio.
Caso existam suspeitas de infeção, o utilizador não deve aceder à conta bancária através do computador afetado. Deve contactar o banco, alterar as credenciais num equipamento seguro e pedir a análise do dispositivo
Leia também: Lidl confirma fuga de dados em 3 países: clientes com estas informações expostas devem ter atenção















