A Trend Micro Incorporated , líder mundial de segurança de conteúdos para a Internet, alerta para as notícias sobre a crise financeira dos créditos hipotecários de Lehman Brothers, que lançaram para a praça pública dúvidas sobre o futuro das instituições bancárias. Estas preocupações atingiram recentemente os utilizadores da banca online, que foram alvo de um ataque de spam. A mensagem de spam induzia os clientes online do Wachovia Bank a instalarem manualmente o “Wachovia Security Plus Certificate” para aceder com segurança aos novos serviços online. Ao clicar no link, o utilizador deparava-se com um arquivo que podia executar ou guardar. Ao executar o ficheiro era simultaneamente descarregado um arquivo detectado pela Trend Micro como TROJAGENT.AINZ.
1- Descarregava dois executáveis (também identificados como TROJAGENT.AINZ) e activava-os directamente;
2 - Instalava um executável (TROJAGENT.AINZ) e um arquivo de sistemas (TROJROOTKIT.FX, um componente de rootkit);
3 - Criava e modificava as entradas do registo para executar automaticamente os arquivos descarregados e instalados;
4 - Apagava as cookies das sessões do navegador.
Juntos, o trojan e o rootkit registavam as sequências do teclado. A rotina de eliminação dos cookies obrigava os utilizadores a ca pt urar os dados novamente. Nesta sequência, o TROJAGENT.AINZ enviava a informação a um site localizado na Alemanha. Os autores deste ataque criaram um rootkit (TROJROOTKIT.FX) para garantirem que o roubo de informação era completo sem que o utilizador tivesse conhecimento. Os rootkits realizam a maioria das mudanças do sistema ao manipular o registo.
Estas capacidades fazem dos rootkits um componente do código malicioso muito atraente para as ameaças Web. Pouco depois do spam de Wachovia, a Trend Micro detectou outro ataque que empregava a mesma táctica de engenharia social aproveitando-se das preocupações com a segurança. Este ataque utilizava um backdoor (BKDRAGENT.AWAF) em lugar de um keylogger, mas tinha a mesma variante do rookit (TROJROOTKIT.FX) para ocultar o backdoor. O backdoor conecta-se a uma direcção IP na Malásia para enviar e receber informação. O uso de rookits aumenta o perigo destes ataques já que permite que as rotinas maliciosas se executem sem serem detectadas durante longos períodos de tempo.
A Trend Micro Smart Protection Network oferece segurança mais inteligente frente aos métodos convencionais, bloqueando as ameaças mais recentes antes de realizar-se o ataque. Isto é possível porque a Smart Protection Network combina tecnologias in-the-cloud e uma arquitectura que protege de forma imediata e automática a informação do utilizador, onde quer que se encontre. Esta solução oferece uma maior segurança através da tecnologia Web Reputation, que identifica os websites maliciosos ou perigosos bloqueando o acesso em função do nível de reputação dos domínios. A tecnologia File Reputation avalia a integridade de todos os arquivos descarregados no computador. Assim, detecta e elimina TROJAGENT.AINZ, BKDRAGENT.AWAF, TROJROOTKIT.FX e outras ameaças perigosas.
Como actuam os criminosos
O trojan descarregado realizava as seguintes tarefas durante a execução: 1- Descarregava dois executáveis (também identificados como TROJAGENT.AINZ) e activava-os directamente;
2 - Instalava um executável (TROJAGENT.AINZ) e um arquivo de sistemas (TROJROOTKIT.FX, um componente de rootkit);
3 - Criava e modificava as entradas do registo para executar automaticamente os arquivos descarregados e instalados;
4 - Apagava as cookies das sessões do navegador.
Juntos, o trojan e o rootkit registavam as sequências do teclado. A rotina de eliminação dos cookies obrigava os utilizadores a ca pt urar os dados novamente. Nesta sequência, o TROJAGENT.AINZ enviava a informação a um site localizado na Alemanha. Os autores deste ataque criaram um rootkit (TROJROOTKIT.FX) para garantirem que o roubo de informação era completo sem que o utilizador tivesse conhecimento. Os rootkits realizam a maioria das mudanças do sistema ao manipular o registo.
Estas capacidades fazem dos rootkits um componente do código malicioso muito atraente para as ameaças Web. Pouco depois do spam de Wachovia, a Trend Micro detectou outro ataque que empregava a mesma táctica de engenharia social aproveitando-se das preocupações com a segurança. Este ataque utilizava um backdoor (BKDRAGENT.AWAF) em lugar de um keylogger, mas tinha a mesma variante do rookit (TROJROOTKIT.FX) para ocultar o backdoor. O backdoor conecta-se a uma direcção IP na Malásia para enviar e receber informação. O uso de rookits aumenta o perigo destes ataques já que permite que as rotinas maliciosas se executem sem serem detectadas durante longos períodos de tempo.
Riscos para os utilizadores: roubo da entidade
Este ataque de spam utiliza uma técnica de engenharia social que aproveita as preocupações dos consumidores com respeito à segurança das transações bancárias online. O URL do spam parece legítimo, o que aumenta a credibilidade e a eficácia do ataque. A Trend Micro adverte os utilizadores que não têm protecção que correm perigo de roubo de identidade. Os clientes da banca online também podem perder seus activos financeiros, já que a informação roubada pode se utilizada para aceder às suas contas e realizar transacções sem o seu conhecimento. Soluções e recomendações da Trend Micro
A Trend Micro Smart Protection Network oferece segurança mais inteligente frente aos métodos convencionais, bloqueando as ameaças mais recentes antes de realizar-se o ataque. Isto é possível porque a Smart Protection Network combina tecnologias in-the-cloud e uma arquitectura que protege de forma imediata e automática a informação do utilizador, onde quer que se encontre. Esta solução oferece uma maior segurança através da tecnologia Web Reputation, que identifica os websites maliciosos ou perigosos bloqueando o acesso em função do nível de reputação dos domínios. A tecnologia File Reputation avalia a integridade de todos os arquivos descarregados no computador. Assim, detecta e elimina TROJAGENT.AINZ, BKDRAGENT.AWAF, TROJROOTKIT.FX e outras ameaças perigosas.
{mosgoogle}
