TFILE - Script malicioso que rouba senhas bancárias em seu computador.

Um Script Malicioso chamado TFILE, inserido nas Configurações de Conexão do Navegador, direciona para sites falsos de Internet Banking e rouba senhas bancárias. Veja como identificá-lo.

Por | @priorandre Windows
<p><span>Um Script Malicioso chamado TFILE, inserido nas Configura&ccedil;&otilde;es de Conex&atilde;o do Navegador, direciona para sites falsos de Internet Banking e rouba senhas banc&aacute;rias. Veja como identific&aacute;-lo.</span></p> <p><span>Nesta tarde (26/03/2013), tive a infelicidade de deparar-me com um problema, que quase capturou a maioria dos meus dados banc&aacute;rios. Trabalho com tecnologias h&aacute; mais de 5 anos, e confesso, j&aacute; me vejo como o "SuperMan" do computador pessoal. At&eacute; surgir esta Kryptonita, para colocar-me no devido lugar.</span></p> <p><span>Durante meu hor&aacute;rio do almo&ccedil;o, em casa, abri a Internet e fui logo iniciando o meu Internet Banking. Mas desta vez, quase que a casa cai. Correria, Stress, falta de aten&ccedil;&atilde;o... Tudo que um programa malicioso precisa para passar despercebido.</span></p> <p><span>Ao abrir o site do banco, continuei os procedimentos, o endere&ccedil;o j&aacute; estava salvo em meu navegador. No caso do servi&ccedil;o bancario que utilizo, na primeira p&aacute;gina &eacute; solicitado meu CPF e posteriormente a "senha da internet" que d&aacute; acesso &agrave; qualquer transfer&ecirc;ncia eletr&ocirc;nica. Foi gra&ccedil;as &agrave; um erro na programa&ccedil;&atilde;o da p&aacute;gina falsa, que percebi a poss&iacute;vel tentativa de "Phishing de dados". A p&aacute;gina solicitou informa&ccedil;&otilde;es que frequentemente n&atilde;o s&atilde;o questionadas, como: Senha do Cart&atilde;o, N&uacute;mero do Cart&atilde;o e N&uacute;mero da Via do Cart&atilde;o. Ao perceber, digitei informa&ccedil;&otilde;es inv&aacute;lidas para "testar" e identificar sobre o que se tratava. Para minha surpresa, era uma p&aacute;gina falsa, que enviaria minhas informa&ccedil;&otilde;es pessoas para uso indevido. Aconteceu, que de fato, inseri duas informa&ccedil;&otilde;es v&aacute;lidas, que seriam suficientes pelo menos &agrave; consultas na minha conta, que ap&oacute;s uma hora ou menos, realizei a altera&ccedil;&atilde;o em uma ag&ecirc;ncia.</span></p> <p><span><strong>Verificando se o TFILE est&aacute; em seu computador:</strong></span></p> <p><span>O respons&aacute;vel pelo desenvolvimento deste Script, de alguma forma, introduziu nas Op&ccedil;&otilde;es da Internet em meu computador, um caminho que levasse at&eacute; o Script para que, quando eu abrisse os sites banc&aacute;rios, fossem abertas p&aacute;ginas falsas id&ecirc;ntica &agrave;s dos Bancos. Isso foi t&atilde;o bem preparado, que o Script atinge pelo menos os seguintes nomes: Banese, Caixa Econ&ocirc;mica Federal, HSBC, Sicredi, BNB, Citibank, Intouch, Serasa, Bradesco, Itau e inclusive o HOTMAIL.</span></p> <p><span>N&atilde;o posso fornecer informa&ccedil;&otilde;es exatas sobre a remo&ccedil;&atilde;o dessa infec&ccedil;&atilde;o em seu computador, mas pelo menos, posso informar como identific&aacute;-la.</span></p> <p><strong>Abra a Internet&gt;Ferramentas&gt;Op&ccedil;&otilde;es da Internet:</strong></p> <p><strong><span class="img_editor"><img src="https://www.oficinadanet.com.br/imagens/post/10255/td_img001.jpg" alt="" /></span><br /></strong></p> <p><span><strong>Conex&otilde;es:</strong></span></p> <p><span><span class="img_editor"><img src="https://www.oficinadanet.com.br/imagens/post/10255/td_img002.jpg" alt="" /></span></span></p> <p><span><strong>Configura&ccedil;&otilde;es da LAN:</strong></span></p> <p><span><span class="img_editor"><img src="https://www.oficinadanet.com.br/imagens/post/10255/td_img003.jpg" alt="" /></span></span></p> <p><span>Veja que existem algumas informa&ccedil;&otilde;es preenchidas nesta imagem, entretanto, n&atilde;o fui eu quem as definiu. Em alguns casos, tratando-se de uma rede corporativa ou acad&ecirc;mica, estas informa&ccedil;&otilde;es poder&atilde;o estar preenchidas, mas n&atilde;o com o caminho abaixo:</span></p> <p><span><code>"C:/Users/SEU_USUARIO/AppData/LocalTemp/TFILE.JSP"</code></span></p> <p><span><span class="img_editor"><img src="https://www.oficinadanet.com.br/imagens/post/10255/td_img004.jpg" alt="" /></span></span></p> <p><span>Se tiver encontrado a informa&ccedil;&atilde;o exatamente como dita acima, recomendo que dirija-se a sua ag&ecirc;ncia banc&aacute;ria e efetue a troca das senhas. Ap&oacute;s, procure alguma assist&ecirc;ncia t&eacute;cnica que possa efetuar uma varredura minuciosa em seu equipamento.</span></p> <p><span>Podem exister outras formar de identific&aacute;-lo? Usando um antiv&iacute;rus estou protegido? N&atilde;o sei responder estas perguntas. Talvez este Script at&eacute; n&atilde;o seja novidade no mundo da Tecnologia da Seguran&ccedil;a.</span></p> <p><span>Uma atitude &agrave; se tomar, &eacute; apagar o endere&ccedil;o que estiver marcado e desmarcar as caixas de di&aacute;logo e clicar em OK. Definindo assim novas configura&ccedil;&otilde;es. Mas n&atilde;o esque&ccedil;a de verificar novamente, quando voltar a abrir a Internet.</span></p> <p><span>O Script continuar&aacute; em meu computador? Sim. </span></p> <p><span>&Eacute; poss&iacute;vel apag&aacute;-lo? SIm.</span></p> <p><span>Para apag&aacute;-lo, abra o executar (CTRL+R)</span></p> <p><span><span class="img_editor"><img src="https://www.oficinadanet.com.br/imagens/post/10255/td_img005.jpg" alt="" /></span></span></p> <p><span>digite a localiza&ccedil;&atilde;o da pasta, onde ele se escondeu. No meu caso:</span></p> <p><span><code>"C:/Users/SEU_USUARIO/AppData/LocalTemp/"</code></span></p> <p><span>Se tiver curiosidade em saber quais sites ele poderia ter efetuado "phishing", basta abrir o arquivo TFILE.js no famoso: Bloco de notas:</span></p> <p><span><span class="img_editor"><img src="https://www.oficinadanet.com.br/imagens/post/10255/td_img006.jpg" alt="" /></span></span></p> <p><span>Estes seriam os sites definidos para Phishing em meu computador:</span></p> <p><span><span class="img_editor"><img src="https://www.oficinadanet.com.br/imagens/post/10255/td_img007.jpg" alt="" /></span></span></p> <p><span>Para excluir, use o vulgo "Shift+Delete" no arquivo "TFILE.js" </span></p> <p><span>Estarei livre dele? AInda n&atilde;o sei. Mas j&aacute; deu um grande passo.</span></p> <p>&nbsp;</p> <p><span>Vou continuar infectado para fazer novas descobertas e quem sabe uma nova postagem sobre o assunto.</span></p> <p><span>Abra&ccedil;os!</span></p>

Mais sobre: Windows, TFILE
Share Tweet
DESTAQUESRecomendado
Mais compartilhados
Comentários
Continue lendo