A Unit 42, unidade de pesquisas da Palo Alto Networks, lança alerta sobre o Escelar, malware direcionado contra clientes de sete bancos brasileiros
Nos últimos três meses, a Unit 42, unidade de pesquisas de ciberameaças da Palo Alto Networks, tem acompanhando a evolução de um Trojan (cavalo de Tróia) bancário que está fazendo vítimas no Brasil e nos Estados Unidos.
Conhecido como Escelar, o malware apareceu em janeiro deste ano e, desde então, já computa cerca de 100 mil casos de tentativas de infecções. A Unit 42 reuniu mais de 600 variantes do vírus até o momento.
Segundo a Palo Alto, o uso do malware é planejado de forma sofisticada e os cibercriminosos por trás dos ataques usam estratégias para espalhar o vírus usando e-mails de phishing em português mirando atualmente clientes de sete bancos brasileiros: Banco do Brasil, Bradesco, Caixa, HSBC, Itau, Santander e Sicredi. Um número muito grande de e-mails foi aberto em janeiro de 2015 e mais continuam chegando desde então, com intervalos um pouco mais lentos.
O malware oferece ao agente vários recursos, incluindo a habilidade de colher credenciais de e-mail e manipular sessões de transações bancárias. Além disso, devido à forma como é arquitetado, ele pode facilmente se atualizar sozinho, suportado pela infraestrutura. A descoberta mais recente dos pesquisadores refere-se a um um servidor Microsoft SQL que, utilizado como base de ataque do Escelar, continha registros de 1660 infecções, todas ativadas em um período de dois dias.
Ataque sofisticado
O Escelar é capaz de controlar transações bancárias realizadas no Internet Explorer e coletar credenciais de e-mail que, por sua vez, são utilizadas para espalhar ainda mais o vírus. Esses e-mails são frequentemente rotulados com data atual e contém uma mensagem genérica para convencer o usuário a executar o anexo.
Um aspecto agressivo do vírus é que, por funcionar apenas via Internet Explorer, se a vítima tentar abrir um dos sites bancários alvejados em um navegador diferente do Internet Explorer, o malware vai gerar um erro falso, fechar o navegador atual e voltar a abrir o link no Internet Explorer.
Se ativado por um usuário incauto, o Escelar passa por três fases de ativação, sendo que a última é a instalação definitiva do malware no computador. A partir daí, o Escelar monitora a atividade web da vítima e, quando ela tenta acessar o site de um banco brasileiro, entra em ação.
O agente malicioso pode enviar um número de diferentes comandos que permitem manipular a sessão no site do banco da vítima e realizar transações fraudulentas, entre outras funções. Eles também permitem que os agentes maliciosos consigam as chaves de autenticação do usuário apresentando uma imagem falsa na tela.
Usuários no Brasil e nos Estados Unidos que utilizam serviços bancários brasileiros devem estar cientes desta ameaça, tomar as precauções necessárias contra ela e garantir que e-mails suspeitos não sejam abertos.