{"id":1851,"date":"2013-05-23T00:25:13","date_gmt":"2013-05-22T23:25:13","guid":{"rendered":"http:\/\/meiobyte.com\/mb\/?p=1851"},"modified":"2013-05-23T00:32:40","modified_gmt":"2013-05-22T23:32:40","slug":"trojans-ameacam-banca-online-desta-vez-pela-mao-do-trojan-banker-win32-bifitagent","status":"publish","type":"post","link":"https:\/\/meiobyte.com\/mb\/trojans-ameacam-banca-online-desta-vez-pela-mao-do-trojan-banker-win32-bifitagent\/","title":{"rendered":"Trojans amea\u00e7am banca online, desta vez pela m\u00e3o do Trojan-banker.win32.bifitAgent"},"content":{"rendered":"<p style=\"text-align: justify;\"><strong><span style=\"color: #000000;\">&#8220;<\/span><em><span style=\"color: #ff6600;\">O uso de um token USB numa transac\u00e7\u00e3o n\u00e3o representa qualquer obst\u00e1culo para os cibercriminosos, j\u00e1 que o token assina a transac\u00e7\u00e3o depois de os dados terem sido falseados. Os cibercriminosos obt\u00eam acesso a equipamentos integrados em redes zombi que usam sistemas banc\u00e1rios BIFIT e instalam o<\/span> <span style=\"color: #008000;\">Trojan-banker.win32.bifitAgent<\/span><span style=\"color: #000000;\">&#8220;<\/span><\/em><\/strong><\/p>\n<p style=\"text-align: justify;\">Os programas maliciosos que roubam dados confidenciais para entrar nos sistemas banc\u00e1rios online provocam dores de cabe\u00e7a \u00e0s organiza\u00e7\u00f5es financeiras de todo mundo h\u00e1 j\u00e1 algum tempo. Desta vez, estamos a falar de um programa que modifica o montante e o destinat\u00e1rio das transac\u00e7\u00f5es leg\u00edtimas de banca online sem o conhecimento da v\u00edtima.<\/p>\n<p style=\"text-align: justify;\"><!--more-->H\u00e1 um ano, a Kaspersky Lab descrevia a f\u00f3rmula utilizada pelo primeiro programa malicioso desenhado para atacar os utilizadores de um software para banca online desenvolvido pela companhia BIFIT. Mas hoje continuam a existir v\u00e1rios programas maliciosos com a mesma funcionalidade, entre eles:<\/p>\n<ul style=\"text-align: justify;\">\n<li><strong><span style=\"color: #339966;\">TROJAN-BANKER.WIN32.IBank<\/span><\/strong><\/li>\n<li><strong><span style=\"color: #ff6600;\">Trojan-banker.win32.oris<\/span><\/strong><\/li>\n<li><strong><span style=\"color: #ff0000;\">Trojan-banker.win32.bifiBank<\/span><\/strong><\/li>\n<li><strong><span style=\"color: #800080;\">Trojan-banker.win32.bifitAgent<\/span><\/strong><\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Este \u00faltimo programa malicioso tem v\u00e1rias caracter\u00edsticas t\u00e9cnicas que o distinguem dos seus semelhantes, j\u00e1 que executa dois m\u00f3dulos principais no equipamento capturado: um ficheiro execut\u00e1vel e um ficheiro comprimido JAVA. Enquanto se instala, cria uma pasta para a qual s\u00e3o copiados os seguintes ficheiros:<\/p>\n<ul style=\"text-align: justify;\">\n<li><strong><span style=\"color: #000000;\">AGENT.EXE<\/span><\/strong>, o principal m\u00f3dulo execut\u00e1vel respons\u00e1vel pelas comunica\u00e7\u00f5es com o servidor de comando. Este m\u00f3dulo \u00e9 capaz de se auto-actualizar, gerir processos, executar comandos atrav\u00e9s de Cmd.exe, e descarregar e executar qualquer ficheiro, sempre obedecendo os comandos procedentes do servidor de comando.<\/li>\n<\/ul>\n<ul style=\"text-align: justify;\">\n<li><strong><span style=\"color: #ff0000;\">ALL.POLICY<\/span><\/strong>, um ficheiro de configura\u00e7\u00e3o JAVA que elimina qualquer restri\u00e7\u00e3o de seguran\u00e7a relacionada com JAVA.<\/li>\n<\/ul>\n<ul style=\"text-align: justify;\">\n<li><strong><span style=\"color: #000000;\">BIFIT_A.CFG<\/span><\/strong>, o ficheiro de configura\u00e7\u00e3o dos programas maliciosos que inclui o n\u00famero de identifica\u00e7\u00e3o dos sistemas infectados e os endere\u00e7os dos servidores de comando.<\/li>\n<\/ul>\n<ul style=\"text-align: justify;\">\n<li><strong><span style=\"color: #ff0000;\">BIFIT_AGENT.JAR<\/span><\/strong>, um ficheiro comprimido JAVA que cont\u00e9m o c\u00f3digo para interagir com os sistemas da BIFIT.<\/li>\n<\/ul>\n<ul style=\"text-align: justify;\">\n<li><strong><span style=\"color: #000000;\">JAVASSIST.JAR<\/span><\/strong>, um ficheiro comprimido JAVA que inclui as fun\u00e7\u00f5es adicionais que requer BIFIT_AGENT.JAR.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">O principal m\u00f3dulo execut\u00e1vel, respons\u00e1vel pela comunica\u00e7\u00e3o com o servidor de comando, funciona de forma simult\u00e2nea com os ficheiros maliciosos JAR. Isto permite aos cibercriminosos modificar de forma instant\u00e2nea qualquer c\u00f3digo que seja executado em JAVA, em particular enquanto se realizam as transac\u00e7\u00f5es banc\u00e1rias.<\/p>\n<p style=\"text-align: justify;\">O c\u00f3digo de BIFIT_AGENT.JAR est\u00e1 altamente ocultado, dificultando ainda mais a an\u00e1lise dos ficheiros que interagem com estes sistemas. N\u00e3o obstante, \u00e9 poss\u00edvel reconstruir ac\u00e7\u00f5es do programa malicioso j\u00e1 que este possui amplas capacidades relacionadas com o registo das suas pr\u00f3prias ac\u00e7\u00f5es.<\/p>\n<p style=\"text-align: justify;\">A an\u00e1lise da funcionalidade inclu\u00edda no BIFIT_AGENT.JAR demonstra que a principal fun\u00e7\u00e3o dos ficheiros JAR \u00e9 falsificar os dados utilizados nas transac\u00e7\u00f5es banc\u00e1rias realizadas a partir dos equipamentos infectados. E tudo isto passa despercebido ao utilizador, j\u00e1 que os dados falsificados s\u00e3o os que s\u00e3o enviados para o banco, n\u00e3o os que s\u00e3o visualizados pelo utilizador<strong>. O uso de um token USB na transac\u00e7\u00e3o n\u00e3o representa qualquer obst\u00e1culo para os atacantes, j\u00e1 que a transac\u00e7\u00e3o s\u00f3 \u00e9 assinada ap\u00f3s a falsifica\u00e7\u00e3o dos dados.<\/strong><\/p>\n<p style=\"text-align: justify;\"><strong>Uma das caracter\u00edsticas particulares do Trojan-banker.win32.bifitAgent \u00e9 que inclui uma assinatura digital<\/strong>. Em Abril, a lista de programas maliciosos da Kaspersky Lab inclu\u00eda cerca de 10 variantes do programa malicioso, todas com uma assinatura v\u00e1lida emitida por Accurate CNC.<\/p>\n<p style=\"text-align: justify;\">Foram detectadas instala\u00e7\u00f5es do Trojan-banker.win32.bifitAgent em equipamentos que fazem parte de redes zombi criadas por programas maliciosos como TROJAN.WIN32.DNSChanger, Backdoor.win32.shiz, Virus.win32.sality, etc. Mas n\u00e3o foi detectada qualquer propaga\u00e7\u00e3o atrav\u00e9s de exploits. <strong>Pela distribui\u00e7\u00e3o de infec\u00e7\u00f5es podemos deduzir que os cibercriminosos obt\u00eam acesso a equipamentos pertencentes a redes zombi nos quais detectam sistemas banc\u00e1rios BIFIT e procedem \u00e0 instala\u00e7\u00e3o do Trojan-banker.win32.bifitAgent.<\/strong><\/p>\n<p style=\"text-align: justify;\">Os utilizadores devem certificar-se de que s\u00f3 acedem pessoas de confian\u00e7a ao seu computador e utilizar ou actualizar s\u00f3 aplica\u00e7\u00f5es de fontes seguras que garantam que n\u00e3o est\u00e3o infectadas. Recomenda-se a utiliza\u00e7\u00e3o de programas de seguran\u00e7a actualizados, como solu\u00e7\u00f5es antiv\u00edrus, firewall pessoais, produtos que protejam contra o acesso n\u00e3o autorizado, etc. Al\u00e9m disso, se o utilizador receber uma mensagem de erro quando estiver a ligar-se ao servidor do seu banco, deve contactar de imediato a sua entidade banc\u00e1ria, averiguar se os seus servidores est\u00e3o a funcionar normalmente e comprovar quando foi realizada a \u00faltima transac\u00e7\u00e3o.<\/p>\n<p style=\"text-align: justify;\"><span style=\"color: #ff6600;\">Fonte: Kaspersky Lab<\/span><\/p>\n<a href=\"http:\/\/www.facebook.com\/share.php?u=https%3A%2F%2Fmeiobyte.com%2Fmb%2Ftrojans-ameacam-banca-online-desta-vez-pela-mao-do-trojan-banker-win32-bifitagent%2F&amp;t=Trojans%20amea%C3%A7am%20banca%20online%2C%20desta%20vez%20pela%20m%C3%A3o%20do%20Trojan-banker.win32.bifitAgent\" id=\"facebook_share_both_1851\" style=\"font-size:11px; line-height:13px; font-family:'lucida grande',tahoma,verdana,arial,sans-serif; text-decoration:none; padding:2px 0 0 20px; height:16px; background:url(http:\/\/b.static.ak.fbcdn.net\/images\/share\/facebook_share_icon.gif) no-repeat top left;\">Partilhe no Facebook<\/a>\n\t<script type=\"text\/javascript\">\n\t<!--\n\tvar button = document.getElementById('facebook_share_link_1851') || document.getElementById('facebook_share_icon_1851') || document.getElementById('facebook_share_both_1851') || document.getElementById('facebook_share_button_1851');\n\tif (button) {\n\t\tbutton.onclick = function(e) {\n\t\t\tvar url = this.href.replace(\/share\\.php\/, 'sharer.php');\n\t\t\twindow.open(url,'sharer','toolbar=0,status=0,width=626,height=436');\n\t\t\treturn false;\n\t\t}\n\t\n\t\tif (button.id === 'facebook_share_button_1851') {\n\t\t\tbutton.onmouseover = function(){\n\t\t\t\tthis.style.color='#fff';\n\t\t\t\tthis.style.borderColor = '#295582';\n\t\t\t\tthis.style.backgroundColor = '#3b5998';\n\t\t\t}\n\t\t\tbutton.onmouseout = function(){\n\t\t\t\tthis.style.color = '#3b5998';\n\t\t\t\tthis.style.borderColor = '#d8dfea';\n\t\t\t\tthis.style.backgroundColor = '#fff';\n\t\t\t}\n\t\t}\n\t}\n\t-->\n\t<\/script>\n\t<!-- AddThis Advanced Settings generic via filter on the_content --><!-- AddThis Share Buttons generic via filter on the_content -->","protected":false},"excerpt":{"rendered":"<p>&#8220;O uso de um token USB numa transac\u00e7\u00e3o n\u00e3o representa qualquer obst\u00e1culo para os cibercriminosos, j\u00e1 que o token assina a transac\u00e7\u00e3o depois de os dados terem sido falseados. Os cibercriminosos obt\u00eam acesso a equipamentos integrados em redes zombi que usam sistemas banc\u00e1rios BIFIT e instalam o Trojan-banker.win32.bifitAgent&#8220; Os programas maliciosos que roubam dados confidenciais [&hellip;]<!-- AddThis Advanced Settings generic via filter on get_the_excerpt --><!-- AddThis Share Buttons generic via filter on get_the_excerpt --><\/p>\n<a href=\"http:\/\/www.facebook.com\/share.php?u=https%3A%2F%2Fmeiobyte.com%2Fmb%2Ftrojans-ameacam-banca-online-desta-vez-pela-mao-do-trojan-banker-win32-bifitagent%2F&amp;t=Trojans%20amea%C3%A7am%20banca%20online%2C%20desta%20vez%20pela%20m%C3%A3o%20do%20Trojan-banker.win32.bifitAgent\" id=\"facebook_share_both_1851\" style=\"font-size:11px; line-height:13px; font-family:'lucida grande',tahoma,verdana,arial,sans-serif; text-decoration:none; padding:2px 0 0 20px; height:16px; background:url(http:\/\/b.static.ak.fbcdn.net\/images\/share\/facebook_share_icon.gif) no-repeat top left;\">Partilhe no Facebook<\/a>\n\t<script type=\"text\/javascript\">\n\t<!--\n\tvar button = document.getElementById('facebook_share_link_1851') || document.getElementById('facebook_share_icon_1851') || document.getElementById('facebook_share_both_1851') || document.getElementById('facebook_share_button_1851');\n\tif (button) {\n\t\tbutton.onclick = function(e) {\n\t\t\tvar url = this.href.replace(\/share\\.php\/, 'sharer.php');\n\t\t\twindow.open(url,'sharer','toolbar=0,status=0,width=626,height=436');\n\t\t\treturn false;\n\t\t}\n\t\n\t\tif (button.id === 'facebook_share_button_1851') {\n\t\t\tbutton.onmouseover = function(){\n\t\t\t\tthis.style.color='#fff';\n\t\t\t\tthis.style.borderColor = '#295582';\n\t\t\t\tthis.style.backgroundColor = '#3b5998';\n\t\t\t}\n\t\t\tbutton.onmouseout = function(){\n\t\t\t\tthis.style.color = '#3b5998';\n\t\t\t\tthis.style.borderColor = '#d8dfea';\n\t\t\t\tthis.style.backgroundColor = '#fff';\n\t\t\t}\n\t\t}\n\t}\n\t-->\n\t<\/script>\n\t","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,5,4],"tags":[],"class_list":["post-1851","post","type-post","status-publish","format-standard","hentry","category-alerta-de-seguranca","category-artigos","category-seguranca"],"_links":{"self":[{"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/posts\/1851"}],"collection":[{"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/comments?post=1851"}],"version-history":[{"count":4,"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/posts\/1851\/revisions"}],"predecessor-version":[{"id":1854,"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/posts\/1851\/revisions\/1854"}],"wp:attachment":[{"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/media?parent=1851"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/categories?post=1851"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/meiobyte.com\/mb\/wp-json\/wp\/v2\/tags?post=1851"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}