Especialistas da empresa de segurança Check Point divulgaram uma nova análise do vírus “Dok”, uma praga inicialmente identificada em maio e que se destacou pela sua capacidade de interceptar o tráfego de navegação de usuários do macOS, o sistema da Apple usado em Macbooks e iMacs. O vírus continua ganhando versões novas que agora miram diretamente sites bancários para a interceptação de dados.

O vírus utiliza um arquivo de configuração de proxy (chamado de “arquivo PAC”) para decidir quais sites serão interceptados pelo vírus. Um proxy é um servidor intermediário em uma conexão. Segundo a Check Point, o conteúdo do arquivo PAC muda conforme o país da vítima, o que significa que os criminosos apenas interceptam as conexões com os bancos que eles acreditam que moradores daquele país vão acessar.

O uso de arquivos PAC é uma técnica muito comum em pragas digitais para Windows. A Check Point informa que, investigando a informação recebida de outro especialista, concluiu que o Dok é de fato uma adaptação de um vírus chamado Retefe, criado para o Windows.

Tela de configuração do macOS mostrando proxy (servidor intermediário) malicioso (127.0.0.1:5555/sRfTcDHGvt.js) configurado. (Foto: Check Point)

Não se sabe se algum banco brasileiro está na lista do vírus.

Além de interceptar o tráfego, o vírus bloqueia as atualizações do sistema para impedir que mecanismos de defesa do macOS detectem e removam a praga digital. Ele também é assinado digitalmente com um certificado adquirido da própria Apple para burlar o recurso de segurança Gatekeeper.

Segundo a Check Point, a Apple vem revogando esses certificados, mas os responsáveis pelo vírus adquirem novos certificados diariamente para manter o ataque funcional em novas campanhas. Cada certificado custa 99 dólares.

Páginas falsas
Caso a vítima visite o site de uma instituição financeira alvo do vírus, o navegador baixará uma página clonada do site e qualquer informação digitada na página será enviada para os criminosos.

Em determinados casos, o vírus solicita que a vítima instale o aplicativo de mensagens Signal no celular. A Check Point não tem certeza sobre qual a finalidade dessa solicitação, já que o Signal é um aplicativo de comunicação legítimo. A empresa levantou a hipótese de que os bandidos tenham interesse em manter um canal de comunicação aberto com a vítima para burlar certos mecanismos antifraude dos bancos.

As páginas falsas são baixadas de um servidor localizado na rede anônima Tor. Dessa maneira, não é possível identificar a localização da infraestrutura que está sendo usada na fraude.

Dúvidas sobre segurança, hackers e vírus? Envie para g1seguranca@globomail.com