A Kaspersky Lab identificou um novo cavalo de troia desenvolvido por cibercriminosos brasileiros. O malware identificado como Trojan.Win32.ProxyChanger.bd aparece disfarçado de instalador do WinRar, a fim de buscar informações bancárias dos usuários.Depois que é instalado, ele cria redirecionamentos de páginas bancárias para roubar credenciais financeiras do internauta. O mesmo método já havia aparecido usando falsos instaladores do MSN Messenger.

O domínio rarlab.com é usado durante boa parte do dia oferecendo o link para o instalador legítimo do WinRar. Em determinado período, o link é trocado, fazendo com que as vítimas baixem o malware.

Este realiza pequenas alterações no proxy dos navegadores Internet Explorer e Mozilla Firefox, o que gera o redirecionamento dos usuários para falsas páginas de bancos. Até o momento todas as vítimas identificadas são brasileiras.