Trojan-Proxy.PowerShell

O Trojan-Proxy.PowerShell é um Trojan bancário que usa o Powershell para alterar as configurações do navegador da vítima. O Trojan-Proxy.PowerShell ataca as configurações do Internet Explorer, para ter certerza de poder tomar o dinheiro da vítima. O Trojan-Proxy.PowerShell parece ter como alvo, no momento, apenas os bancos brasileiros. Os analistas de segurança do PC recomendam fortemente aos usuários de computador que têm interações com bancos brasileiros que tomem medidas extras para proteger os seus computadores com a ajuda de um programa anti-malware confiável e totalmente atualizado.

O Trojan-Proxy.PowerShell usa o Powershell da Microsoft para Alterar as Configurações do Seu Navegador

O Trojan-Proxy.PowerShell é um novo Trojan bancário, observado pela primeira vez no verão de 2016. O Trojan-Proxy.PowerShell usará o Powershell da Microsoft para fazer alterações nas configurações proxy locais do PC infectado. Ao fazer isso, o Trojan-Proxy.PowerShell pode redirecionar os usuários de computador a um outro servidor, que irá exibir versões falsas do site do seu banco. Isso permite que os fraudadores recolham as senhas on-line das vítimas, as quais podem ser usadas para tirar dinheiro das contas bancárias comprometidas. Alterar as configurações proxy do computador infetado é uma das táticas mais comuns utilizadas pelos Trojans bancários. Essa estratégia tem feito parte do arsenal dos Trojans bancários há vários anos. No entanto, para realizar esses ataques, os Trojans bancários tem que instalar arquivos PAC (Proxy Auto-Config) no computador infectado. No caso do Trojan-Proxy.PowerShell, o método de ataque é diferente. O Trojan-Proxy.PowerShell usa o Powershell da Microsoft para alterar as suas configurações. O PowerShell é um utilitário usado para a automação das tarefas do Windows da Microsoft. Ele foi lançado recentemente como um código aberto para o Mac e o Linux. Usando esse utilitário de automatização de tarefas, o Trojan-Proxy.PowerShell pode alterar as configurações proxy da vítima sem a necessidade de instalar arquivos PAC no computador infectado.

Como o Trojan-Proxy.PowerShell pode ser Disseminado

O Trojan-Proxy.PowerShell está sendo distribuído incluído como um anexo em certas mensagens de e-mail spam. O Trojan-Proxy.PowerShell é fornecido em um arquivo PIF. As mensagens de e-mail usadas para distribuir os arquivos corrompidos contendo o Trojan-Proxy.PowerShell afirmam que o anexo de arquivo PIF é o recibo de uma empresa de telefonia móvel. Quando as vítimas abrem o anexo de e-mail comprometido, o Trojan instalado irá iniciar o Powershell e alterar as configurações proxy locais do Internet Explorer. Os usuários de computador usando outros aplicativos além do Internet Explorer também serão afetados pelo Trojan-Proxy.PowerShell. Isso acontece por que todos os principais navegadores de rede, exceto o Mozilla Firefox, usam as configurações proxy do Internet Explorer para configurar as suas próprias conexões de Internet. Por causa disso, quando os usuários de computador tentam se conectar ao seus sites bancários on-line através do navegador de rede dos seus sistemas operacionais, a solicitação será enviada ao servidor dos criadores dessa ameaça, o qual exibe uma falsa versão do site bancário que salva as informações de conta e a senha da vítima.

Os Ataques do Trojan-Proxy.PowerShell estão, Atualmente, Atingindo Bancos Brasileiros

As falsas versões do site bancário visado estão localizadas em um servidor na Holanda. Atualmente, pelo menos quatro bancos brasileiros estão na mira do ataque do Trojan-Proxy.PowerShell. É provável que o ataque do Trojan-Proxy.PowerShell esteja focalizando esses bancos especificamente por causa dos Jogos Olímpicos do Rio. No entanto, esse ataque pode começar a atingir bancos de outros países, depois que o Brasil deixar de ser o centro das atenções do mundo. O Trojan-Proxy.PowerShell destina-se apenas aos computadores onde o português brasileiro (PTBR) é definido como a linguagem padrão do sistema operacional.

Várias ameaças, sem dúvida, aumentaram as suas atividades no Brasil, por causa da presença dos Jogos Olímpicos do Rio. Alguns exemplos incluem o Trojan bancário Sphinx e a variante brasileira de um Trojan bancário conhecido como Panda. Os analistas de segurança do PC aconselham muito cuidado ao lidar com qualquer conteúdo relativo ao Brasil, enquanto os Jogos Olímpicos estiverem em curso, e o uso de um programa de segurança confiável o tempo todo.