{"id":11597,"date":"2019-04-04T19:15:57","date_gmt":"2019-04-04T22:15:57","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11597"},"modified":"2019-11-22T07:07:30","modified_gmt":"2019-11-22T10:07:30","slug":"cibercrime-brasil-zip-banking-golpe","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/cibercrime-brasil-zip-banking-golpe\/11597\/","title":{"rendered":"Criminosos brasileiros importam m\u00e9todo russo para infectar v\u00edtimas"},"content":{"rendered":"<p>N\u00e3o \u00e9 novidade que os cibercriminosos brasileiros tentam, constantemente, novas formas para enganar os usu\u00e1rios \u2013 mas n\u00e3o \u00e9 sempre que criam novas t\u00e9cnicas. A Kaspersky Lab identificou uma campanha de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/malware-bancario-cresce-rapidamente-no-android\/2864\/\" target=\"_blank\" rel=\"noopener\">malware banc\u00e1rio<\/a> utilizando o m\u00e9todo BOM para confundir scanners de e-mail e infectar as v\u00edtimas \u2013 esta \u00e9 a primeira vez que a t\u00e9cnica \u00e9 utilizada no Pa\u00eds e tem como alvo correntistas brasileiros e chilenos. Os usu\u00e1rios dos produtos da companhia est\u00e3o protegidos deste ataque.<\/p>\n<h3>T\u00e9cnica de 2013<\/h3>\n<p>Criados por criminosos russos para distribuir malware de sistemas Windows, essa t\u00e9cnica foi descoberta em 2013 e consiste em adicionar o prefixo BOM (Byte Order Mark) para evitar a detec\u00e7\u00e3o. Campanhas de malware banc\u00e1rios dependem das famosas mensagens de <a href=\"https:\/\/www.kaspersky.com.br\/blog\/phishing-klsec-brasil-assolini\/10642\/\" target=\"_blank\" rel=\"noopener\">phishing<\/a> para aumentar o n\u00famero de v\u00edtimas. O desafio dos criminosos russos era confundir os scanners de e-mail, ent\u00e3o criaram um arquivo .<em>ZIP<\/em> com cabe\u00e7alho modificado para conseguir entregar as mensagens maliciosas nas caixas de correio dos usu\u00e1rios.<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-11598\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/04\/04190831\/db61343f-d038-4f2a-9b74-7ee711fc1ae4.png\" alt=\"\" width=\"400\" height=\"215\"><\/p>\n<p>Ao tentar abrir o arquivo compactado utilizando o visualizador padr\u00e3o do Windows Explorer, o usu\u00e1rio v\u00ea uma mensagem de erro, dizendo que est\u00e1 corrompido. Ao analis\u00e1-lo, os especialistas da Kaspersky perceberam que o cabe\u00e7alho do ZIP cont\u00e9m tr\u00eas bytes extras (0xEFBBBF), que representam o (BOM), antes da assinatura \u201cPK\u201d (0x504B), que \u00e9 o padr\u00e3o do ZIP. J\u00e1 o BOM \u00e9 encontrado normalmente em arquivos de texto com codifica\u00e7\u00e3o UTF-8. O ponto \u00e9 que algumas ferramentas n\u00e3o ir\u00e3o reconhecer este arquivo como um ZIP -elas o ler\u00e3o como um arquivo de texto e n\u00e3o conseguir\u00e3o abri-lo.<\/p>\n<p>Entretanto, programas como WinRAR e 7-Zip simplesmente ignoram o prefixo e ir\u00e3o extrair seu conte\u00fado corretamente. Uma vez que o usu\u00e1rio fa\u00e7a isso, ser\u00e1 infectado. Quando isso acontece, o malware atuar\u00e1 como ponte para baixar o malware principal.<br>\n<img decoding=\"async\" class=\"aligncenter size-full wp-image-11599\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2019\/04\/04191022\/33a9fea2-6a58-47b7-9a9f-eb2c2e1ab74e.png\" alt=\"\" width=\"491\" height=\"253\">Ap\u00f3s uma sequ\u00eancia de processos que visam evitar a detec\u00e7\u00e3o das a\u00e7\u00f5es maliciosas, \u00e9 baixado o malware principal: variantes do malware Banking RAT que fica inoperante na m\u00e1quina da v\u00edtima at\u00e9 que esta tente acessar seu Internet banking. Neste momento, ele come\u00e7a a capturar tokens, c\u00f3digo de acesso, data de anivers\u00e1rio, senha de acesso, entre outras formas de autentica\u00e7\u00e3o banc\u00e1ria.<\/p>\n<p>\u201cIdentificamos atividades da campanha maliciosas usando o m\u00e9todo BOM contra correntistas brasileiros e chilenos. Tecnicamente, \u00e9 engenhosa e, por isso, \u00e9 ing\u00eanuo esperar que com seis anos desde seu descobrimento n\u00e3o ser\u00e1 efetiva. Usu\u00e1rios que contam com uma <a href=\"https:\/\/www.kaspersky.com.br\/plus?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kplus___\" target=\"_blank\" rel=\"noopener\">solu\u00e7\u00e3o de seguran\u00e7a<\/a> n\u00e3o correm muitos riscos, por\u00e9m quem n\u00e3o tem nenhuma prote\u00e7\u00e3o est\u00e1 vulner\u00e1vel\u201d, afirma Thiago Marques, analista de seguran\u00e7a da Kaspersky Lab.<\/p>\n<p>Todos os produtos da companhia est\u00e3o aptos a extrair e analisar arquivos comprimidos contendo Byte Order Mark, al\u00e9m de j\u00e1 identificarem e bloquearem o malware usado neste golpe.<\/p>\n<p>Mais informa\u00e7\u00f5es sobre a ataque est\u00e3o dispon\u00edveis no <a href=\"https:\/\/securelist.lat\/o-retorno-do-bom\/88676\/\" target=\"_blank\" rel=\"noopener\">Securelist.com<\/a>.<br>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-banking\"><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00c9 a primeira vez que esta t\u00e1tica \u00e9 usada no Pa\u00eds e visa disseminar malware banc\u00e1rio no Brasil e Chile<\/p>\n","protected":false},"author":61,"featured_media":11152,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[218],"class_list":{"0":"post-11597","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-ameacas"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/cibercrime-brasil-zip-banking-golpe\/11597\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ameacas\/","name":"amea\u00e7as"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11597","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/61"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=11597"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11597\/revisions"}],"predecessor-version":[{"id":12749,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/11597\/revisions\/12749"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/11152"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=11597"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=11597"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=11597"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}