Por Gabriel Ribeiro, para o TechTudo


Pesquisadores da IBM descobriram um novo malware direcionado para usuários brasileiros. MnuBot, como é chamado, é um trojan criado para roubar dados bancários através do monitoramento constante das atividades realizadas no PC infectado. Além de registrar tudo o que é digitado, o software malicioso consegue tirar print screen da tela do computador, desinstalar programas e até mesmo reiniciar o sistema. Tudo isso pode ser feito de forma remota, sob instruções do criminoso por trás do golpe cibernético.

Outra característica do MnuBot é a dificuldade de ser detectado. O malware consegue mascarar o tráfego, evadindo o antivírus instalado no computador do usuário e evitando que as autoridades façam engenharia reversa para descubrir quem são os autores do crime.

MnuBot é usado para roubar dados bancários, alerta IBM — Foto: Arte/TechTudo MnuBot é usado para roubar dados bancários, alerta IBM — Foto: Arte/TechTudo

MnuBot é usado para roubar dados bancários, alerta IBM — Foto: Arte/TechTudo

A forma como o MnuBot age chama a atenção, pois ele recebe os comandos a partir de um servidor Microsoft SQL. Em contrapartida, a maioria dos trojans comuns obtêm as instruções por um servidor web ou pelo IRC. Com isso, o tráfego malicioso do software pode passar despercebido pelo antivírus instalado no PC, e o usuário não é notificado do risco de segurança. Outro fator interessante é que sua construção é bastante sofisticada para um software desenvolvido na linguagem de programação Delphi.

Uma vez instalado na máquina, o MnuBot consegue espionar o sistema por completo. Ele cria uma área de trabalho e, a partir dela, é capaz de monitorar qual é a janela que está em primeiro plano. Quando detecta que a vítima está prestes a acessar o site de um banco, ele informa ao criminoso a ação. Em seguida, aguarda por mais instruções para roubar os dados bancários.

MnuBot é capaz de...

  • Simular e monitorar cliques;
  • Executar keylogger e simular digitação;
  • Tirar capturas de tela (print screen);
  • Desinstalar aplicativos;
  • Recuperar a versão mais recente de documentos;
  • Reiniciar o sistema

Como saber que foi infectado

Assim que o MnuBot é instalado, ele vasculha o diretório do PC em busca da pasta "AppData Roaming" e, se ela não estiver presente, o trojan a cria sem que o usuário saiba. Dessa forma, o principal sinal de que o computador foi infectado é encontrar um arquivo chamado "Desk.txt" nessa pasta.

Após essa etapa, o MnuBot instala um executável chamado "Neon.exe", que fica localizado no diretório C:\Users\Public\Neon.exe. Este componente é responsável por permitir que o criminoso tenha acesso remoto ao computador da vítima.

Como se proteger

A IBM não informou ainda mais detalhes sobre como o trojan está se espalhando entre os usuários. A recomendação no geral é evitar baixar arquivos enviados por anexo em e-mail e clicar em endereços enviados por desconhecidos. Além disso, vale lembrar de manter o antivírus e o sistema operacional sempre atualizados para maior segurança.

Como remover vírus do PC? Tire suas dúvidas no Fórum do TechTudo.

Como remover vírus do pen drive

Como remover vírus do pen drive

MAIS DO TechTudo