CWSandbox vs. Banking Spyware
Something we see quite often are malware binaries that are used to steal sensitive information used for online banking. This kind of malware is pretty popular especially in Brasil, but we see it also coming from other countries. Today we take a quick look at one of those Brasilian spyware programs...
The complete infection process is split up into several stages: the first stage creates two new files on the hard disk and then executes one of them. The second stage opens a web page (http://www.humortadela.com.br) and downloads additional malware from the Internet (http://210.58.101.241/modules/xfsection/html/msmm.exe) in the background. The last stage is then used to find windows which contain a specific title and the list is rather large - the malware binary tries to detect whether the victim has opened a specific window:
I don't speak Portuguese, but a quick search at Google reveals that these titles are commonly used by Banco do Brasil, so this bank is the target of these attacks...
The complete report is also available as HTML analysis and XML analysis.
Update: Fixed "Portuguese" - thanks to Bjoern Weiland
The complete infection process is split up into several stages: the first stage creates two new files on the hard disk and then executes one of them. The second stage opens a web page (http://www.humortadela.com.br) and downloads additional malware from the Internet (http://210.58.101.241/modules/xfsection/html/msmm.exe) in the background. The last stage is then used to find windows which contain a specific title and the list is rather large - the malware binary tries to detect whether the victim has opened a specific window:
Evite que outras pessoas vejam você digitar sua senha
Evite que outras pessoas te vejam digitar a sua -senha-
A senha de oito dígitos é usada somente para o login
Não abra e-mail de origem desconhecida
Verifique um pequeno cadeado fechado na parte inferior do navegador
Verifique um pequeno cadeado na parte inferior de seu navegador
Evite que outras pessoas vejam você digitar a sua -senha-
Mantenha atualizado o sistema operacional, o navegador e o anti-vírus/trojan
Troque sua senha caso ela possa ser descoberta facilmente
Sempre consulte esta página para novas informações sobre a segurança
Sempre consulte esta página para novas informações sobre segurança
Evite realizar operações em equipamentos de uso público
Não permita que outras pessoas conheçam os seus dados de acesso
Escolha "senhas" diferentes do seu nascimento, CPF e n° seqüenciais
Note se no incio do campo "endereço" surgem as letras "https"
Não use atalhos em e-mail para acessar o site. Digite o endereço direto no navegador
Não abra arquivos de origem desconhecida
Evite abrir arquivos executáveis anexados às suas mensagens
Não faça alteração cadastral por e-mail
Não enviamos e-mail sem a sua permissão
Cuidado com links e downloads contidos em mensagens promocionais
Nunca digite seus dados de acesso em e-mail
Memorize suas senhas sem anotá-las
A senha de oito números somente é usada para o login
I don't speak Portuguese, but a quick search at Google reveals that these titles are commonly used by Banco do Brasil, so this bank is the target of these attacks...
The complete report is also available as HTML analysis and XML analysis.
Update: Fixed "Portuguese" - thanks to Bjoern Weiland
".
