Os cibercriminosos brasileiros estão deixando seus golpes para roubo de dinheiro online ainda mais sofisticados. Agora eles contam com uma nova arma: o Windows PowerShell, um recurso nativo utilizado por administradores e programadores para automatizar comandos de sistema, e está presente nas versões mais recentes do Windows 7 ao 10. O novo trojan bancário, descoberto por analistas da Kaspersky Lab, tem empregado esta tecnologia pela primeira vez para propagar pragas de origem brasileira.

Se você tem alguma dúvida sobre tecnologia, escreva para [email protected] e suas questões podem ser respondidas

O ataque foi distribuído por meio de campanha de e-mail malicioso disfarçado de fatura de operadora de telefonia móvel, com links de download para um arquivo malicioso. Após a execução do malware, ele irá alterar as configurações de proxy do Internet Explorer para um servidor que redireciona as conexões para páginas de phishing dos principais bancos brasileiros.

A imagem ao lado mostra o resultado da execução do malware no navegador da vítima: uma pequena mudança, mas com grande impacto, pois o novo servidor de proxy configurado irá direcionar a conexão da vítima para servidores controlados pelos criminosos.

Essa mudança no sistema irá afetar não apenas o Internet Explorer, mas sim todos os outros navegadores instalados no sistema, como Chrome ou Firefox, uma vez que eles costumam utilizar as mesmas configurações do Internet Explorer.

O malware também possui um recurso interessante: ele verifica o idioma configurado no sistema operacional infectado e aborta sua execução, caso o idioma não seja PTBR. Este é um truque inteligente, que visa evitar infecção por pessoas que não usam o idioma em seu computador, limitando, assim, as infecções aos brasileiros.

No primeira trimestre de 2016, o Brasil foi o país mais afetado por trojans bancários no mundo. Para proteger redes ou computadores de ataques que usam o PowerShell é importante modificar as permissões do recurso, por meio de templates administrativos que irão permitir somente a execução de scripts assinados. “Estamos certos que este é o primeiro malware de muitos outros que surgirão utilizando a mesma técnica”, alerta Fabio Assolini, especialista em segurança da Kaspersky Lab.