LoadPCBanker
O malware LoadPCBanker é um Trojan bancário que é suspeito de ser o trabalho de hackers brasileiros. O Trojan LoadPCBanker Banking é conhecido por se concentrar nos usuários de PC do Brasil, e o programa não foi encontrado fora do Brasil. O malware LoadPCBanker foi descoberto em 23 de abril de 2019, quando analistas de segurança dos computadores notaram um tráfego incomum das URL de domínios confiáveis do Google. Os agentes de ameaças exploraram as políticas de segurança negligentes no arquivo de gabinete que faz parte da plataforma do Google Sites. Os atacantes criaram um site simples, carregaram um dropper de malware no Arquivo e produziram um URL. O serviço File Cabinet permite que os proprietários do site armazenem documentos e arquivos relacionados ao site sem exibi-los no site criado. No entanto, os proprietários do site podem gerar links para os arquivos enviados.
Índice
O Google Sites Foi Explorado para Distribuir o LoadPCBanker
É assim que a equipe do LoadPCBanker encontrou uma maneira de contornar a maioria dos programas de segurança. Explorando o status confiável do domínio do Google Sites - https://sites.google.com - os invasores conseguiram implantar um arquivo prejudicial nos computadores de usuários desavisados. Os primeiros ataques usaram URLs para um arquivo chamado 'Reserva_Manoel_pdf.rar' que leva o nome de um popular jogador de futebol chamado Manoel Carvalho. Os atacantes usam o nome 'Manoel Carvalho' como é reconhecível entre os brasileiros e muitas pessoas provavelmente abrirão o arquivo proposto. O arquivo RAR contém o que é apresentado como um documento PDF intitulado 'PDF Detalhes de Reserva MANOEL CARVALHO' Se você habilitar o Windows Explorer para mostrar as extensões de arquivo, você poderá notar que o nome completo é 'Detalhes das Reservas de PDF MANOEL CARVALHO - detalhes de hospedagem familiar PDF.exe'. Na realidade, os usuários veem um arquivo de programa, não um documento PDF.
O LoadPCBanker Funciona como um Spyware e um Trojan Bancário
O 'PDF Detalhes das Reservas de PDF MANOEL CARVALHO - detalhes de hospedagem familiar PDF.exe.' O dropper é escrito na linguagem de programação Delphi e fornece três arquivos de uma página comprometida fora da plataforma do Apresentações do Google. O módulo dropper grava 'otlook.exe', 'cliente.dll' e 'libmySQL50.DLL' em uma pasta oculta no diretório AppData. O componente dropper continua a excluir logs no cache do WinINet em relação às suas transmissões e a carregar 'otlook.exe' na memória do sistema. Uma vez carregado, o processo recupera dados do 'cliente.dll' e 'libmySQL50.DLL' para iniciar seu trabalho. Os pesquisadores de segurança alertam que o Trojan LoadPCBanker pode ser projetado para coletar credenciais bancárias de portais bancários online, mas é usado principalmente como spyware.
O Trojan LoadPCBanker monitora a área de transferência em busca de números de cartão de crédito, senhas em potencial, endereços de carteira criptografados, capturas de tela de registros e entrada de teclado. O malware é configurado para baixar outro arquivo chamado 'dblog.log' de uma página da Web remota, que contém instruções sobre o servidor de comando. O servidor de comando remoto apresenta um banco de dados SQL usado pelos agentes de ameaça para armazenar dados roubados.
Como Detectar o Trojan LoadPCBanker
É improvável que os usuários de PC detectem o Trojan LoadPCBanker com o uso normal do computador. No entanto, eles podem receber notificações de serviços de mídia social e provedores de email sobre novos locais de login associados às suas contas na Web. Os usuários que suspeitarem que as suas contas na Web podem estar comprometidas devem tomar medidas para relatar atividades questionáveis aos seus provedores de serviços e tentar remover dispositivos que possam ser usados para seqüestrar as suas contas. As equipes de suporte on-line devem ajudá-lo a recuperar o controle da sua identidade on-line, mas você precisará executar uma digitalização completa do sistema para remover o Trojan LoadPCBanker do seu sistema.
