A empresa de segurança Palo Alto Networks publicou um alerta sobre um
golpe que mira os internautas brasileiros com uma mensagem de e-mail
falsa trazendo uma cobrança do Imposto Predial e Territorial Urbano
(IPTU). A fraude já circula há algum tempo, mas ela é notável pela
maneira que se instala e é executada no computador, se "disfarçando" de
um conhecido programa de segurança usado pelos bancos para monitorar a
atividade do computador e roubar senhas.
O golpe começa com a mensagem de e-mail. Caso a vítima clique, é
oferecido um download de um pequeno arquivo ZIP contendo um atalho. Esse
atalho tira proveito de um comando interno do Windows para baixar e
executar o instalador do vírus. O instalador por sua vez baixa uma
versão antiga de um programa de segurança usado por bancos brasileiros.
O objetivo disso é fazer com que o programa de segurança sirva de
intermediário para carregar o vírus. Isso é possível porque o programa
tenta carregar um arquivo específico localizado na mesma pasta em que
ele se encontra. Logo, o vírus pode colocar o programa de segurança e
seu próprio código na mesma pasta (em formato "DLL"), garantindo que o
programa de segurança carregará o vírus quando ele for iniciado (veja,
na imagem, o programa de segurança legítimo e a DLL do vírus na mesma
pasta).
Essa tática faz com que o vírus fique na memória com o nome do programa de segurança. Assim, vai ser mais difícil identificar que há algo de errado usando programas como o Gerenciador de Tarefas do Windows, que enxergam apenas o nome do programa principal e não os componentes carregados.
"Os usuários localizados no Brasil ou pessoas que usam serviços bancários on-line brasileiros devem estar cientes dessa ameaça e tomar as precauções necessárias, como não clicar em links em emails suspeitos", recomendou Palo Alto Networks.
Essa tática faz com que o vírus fique na memória com o nome do programa de segurança. Assim, vai ser mais difícil identificar que há algo de errado usando programas como o Gerenciador de Tarefas do Windows, que enxergam apenas o nome do programa principal e não os componentes carregados.
"Os usuários localizados no Brasil ou pessoas que usam serviços bancários on-line brasileiros devem estar cientes dessa ameaça e tomar as precauções necessárias, como não clicar em links em emails suspeitos", recomendou Palo Alto Networks.
G1
