{"id":5569,"date":"2015-08-10T21:51:19","date_gmt":"2015-08-10T21:51:19","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=5569"},"modified":"2020-02-26T13:24:08","modified_gmt":"2020-02-26T16:24:08","slug":"nova-onda-de-golpes-bancarios-utiliza-velha-tatica","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/nova-onda-de-golpes-bancarios-utiliza-velha-tatica\/5569\/","title":{"rendered":"Nova onda de golpes banc\u00e1rios utiliza velha t\u00e1tica"},"content":{"rendered":"<p>Velhos truques nunca morrem, e os cibercriminosos sabem disso. Recentemente vimos uma grande onda de arquivos <em>VBE<\/em> atingindo usu\u00e1rios brasileiros, distribu\u00eddos por mensagens de e-mail. A maioria s\u00e3o <em>downloaders<\/em> que, ap\u00f3s execu\u00e7\u00e3o, ir\u00e3o instalar uma s\u00e9rie de arquivos maliciosos no computador da v\u00edtima, como trojans banc\u00e1rios, RATs (remote admin tool) e em alguns casos, malware que <a href=\"https:\/\/kasperskydaily.com\/brazil\/sas-2014-o-golpe-do-boleto-no-brasil\/2293\/\" target=\"_blank\" rel=\"noopener\">altera boletos banc\u00e1rios<\/a>.<\/p>\n<p>Arquivos <em>.VBE<\/em> (VBScript Encoded) s\u00e3o scripts executados pelo Windows Script Host. Assim como arquivos <em>.JS<\/em> (Javascript) e <em>.VBS<\/em> (Visual Basic Script), podem ser usados para baixar arquivos, execut\u00e1-los, fazer altera\u00e7\u00f5es profundas no sistema etc. S\u00e3o potencialmente maliciosos e h\u00e1 muito tempo v\u00e1rias pragas t\u00eam usado esse formato para se disseminar, especialmente worms de rede.<\/p>\n<p>Cibercriminosos brasileiros gostam de usar extens\u00f5es execut\u00e1veis pouco conhecidas em seus ataques, como o <em>.CPL<\/em>, pois muitos usu\u00e1rios n\u00e3o sabem do potencial malicioso desses arquivos.<\/p>\n<p>O ataque come\u00e7a com mensagens de e-mail como abaixo, com um\u00a0<em>.ZIP<\/em> anexado. Algumas mensagens possuem apenas um link para descarregar o arquivo <em>.VBE<\/em> diretamente, usando uma variedade de temas como o lan\u00e7amento do Windows 10. Como podemos ver na imagem, o arquivo \u00e9 bem pequeno (menos de 1 KB), mas dentro est\u00e1 o perigo -o .<em>VBE<\/em>:<\/p>\n<div id=\"attachment_5570\" style=\"width: 650px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135332\/1-1.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-5570\" class=\"wp-image-5570\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135332\/1-1.png\" alt=\"\" width=\"640\" height=\"284\"><\/a><p id=\"caption-attachment-5570\" class=\"wp-caption-text\"><em>Essa mensagem foi enviada para o servi\u00e7o \u201cMalicioso\u201d, contribua voc\u00ea tamb\u00e9m!<\/em><\/p><\/div>\n<p>Interessante ver que, mesmo ap\u00f3s muitos anos de ataques e abuso de arquivos <em>.VBS,<\/em> os provedores de e-mail ainda aceitam execut\u00e1veis de script anexos. Basta colocar o arquivo malicioso dentro de um <em>.ZIP<\/em> ou <em>.RAR<\/em> e magicamente a mensagem maliciosa chegar\u00e1 ao usu\u00e1rio:<\/p>\n<div id=\"attachment_5571\" style=\"width: 604px\" class=\"wp-caption aligncenter\"><a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135331\/2-1.png\"><img decoding=\"async\" aria-describedby=\"caption-attachment-5571\" class=\"size-full wp-image-5571\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135331\/2-1.png\" alt=\"Sim, Outlook.com ainda aceita arquivos VBE\/VBS dentro de ZIPs.\" width=\"594\" height=\"416\"><\/a><p id=\"caption-attachment-5571\" class=\"wp-caption-text\"><em>Sim, Outlook.com ainda aceita arquivos VBE\/VBS dentro de ZIPs<\/em><\/p><\/div>\n<p>N\u00e3o \u00e9 surpresa saber que o arquivo <em>.VBE<\/em> est\u00e1 \u201cencodado\u201d:<br>\n<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135331\/3-1.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-5572\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135331\/3-1.png\" alt=\"3\" width=\"640\"><\/a><\/p>\n<p>Cibercriminosos costumam encodar arquivos numa tentativa de burlar a detec\u00e7\u00e3o de antiv\u00edrus. Alguns desses arquivos <em>.VBE<\/em> foram codificados\u00a0em Base64 usando o software da Motobit, enquanto outros preferem usar demos de produtos\u00a0comerciais:<br>\n<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135330\/4-1.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-5573\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135330\/4-1.png\" alt=\"4\" width=\"500\" height=\"218\"><\/a><\/p>\n<p>Ap\u00f3s \u201cdecifrar\u201d o\u00a0arquivo podemos ver sua real inten\u00e7\u00e3o. O exemplo abaixo mostra um script que descarrega malware para\u00a0<a href=\"https:\/\/kasperskydaily.com\/brazil\/o-que-podemos-aprender-com-o-golpe-do-boleto\/3493\/\" target=\"_blank\" rel=\"noopener\">alterar boletos banc\u00e1rios<\/a>:<br>\n<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135330\/5-1.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-5574\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135330\/5-1.png\" alt=\"5\" width=\"640\"><\/a><\/p>\n<p>Essa fam\u00edlia de malware que usa arquivos <em>.VBE<\/em> maliciosos \u00e9 detectada em nossos produtos com dois nomes, e recentemente registramos aumento consider\u00e1vel na detec\u00e7\u00e3o. O <a href=\"https:\/\/www.kaspersky.com\/me\/viruswatchlite?search_virus=Trojan-Downloader.VBS.Agent&amp;x=11&amp;y=4&amp;hour_offset=-6\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">Trojan-Downloader.VBS.Agent<\/a>\u00a0teve\u00a0mais de 4 mil detec\u00e7\u00f5es em apenas um dia, e mais de 12 mil do <a href=\"https:\/\/www.kaspersky.com\/me\/viruswatchlite?search_virus=Trojan-Downloader.VBS.Banload&amp;x=20&amp;y=3&amp;hour_offset=-6\" target=\"_blank\" rel=\"noopener noreferrer nofollow\">Trojan-Downloader.VBS.Banload<\/a> no mesmo per\u00edodo:<br>\n<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135330\/7-1.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-5575\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135330\/7-1.png\" alt=\"Trojan-Downloader.VBS.Banload\" width=\"640\"><\/a><\/p>\n<p>Nossas estat\u00edsticas indicam\u00a0Brasil, Portugal e Espanha como os mais atacados por este tipo de malware neste m\u00eas. Isso n\u00e3o nos surpreende, pois o Brasil sempre aparece entre os l\u00edderes em rankings de infec\u00e7\u00e3o de <a href=\"https:\/\/kasperskydaily.com\/brazil\/o-trojan-chthonic-ataca-mais-de-150-bancos-em-todo-o-mundo\/4577\/\" target=\"_blank\" rel=\"noopener noreferrer\">trojans banc\u00e1rios<\/a>. A raz\u00e3o pelo qual os cibercriminosos decidiram usar este formato em seus ataques demonstra como podem ser efetivas velhas t\u00e9cnicas de ataque.<br>\n<a href=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135329\/8-1.png\"><img decoding=\"async\" class=\"aligncenter size-full wp-image-5577\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/94\/2015\/08\/06135329\/8-1.png\" alt=\"8\" width=\"640\"><\/a><\/p>\n<p>Nossos usu\u00e1rios est\u00e3o protegidos contra esses ataques. Se receber mensagens de e-mails com arquivos <em>.VBE<\/em>, fique atento e n\u00e3o os execute!<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Velhos truques nunca morrem, e os cibercriminosos sabem disso. Recentemente vimos uma grande onda de arquivos VBE atingindo usu\u00e1rios brasileiros, distribu\u00eddos por mensagens de e-mail. A maioria s\u00e3o downloaders que,<\/p>\n","protected":false},"author":332,"featured_media":4578,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1260,14],"tags":[812,811,248,813,301,92],"class_list":{"0":"post-5569","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-news","9":"tag-vbe","10":"tag-banker","11":"tag-brasil","12":"tag-email","13":"tag-golpe-do-boleto","14":"tag-trojan"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/nova-onda-de-golpes-bancarios-utiliza-velha-tatica\/5569\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/vbe\/","name":".VBE"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5569","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/332"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=5569"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5569\/revisions"}],"predecessor-version":[{"id":14403,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/5569\/revisions\/14403"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/4578"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=5569"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=5569"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=5569"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}