Lista de IPs infectados obtida pela Trend Micro. (Foto: Trend Micro)
Malware usa domínios legítimos do Google e Facebook.
Usuários são redirecionados para páginas falsas de bancos.
Um novo trojan banker que se passa por um instalador do Google Chrome 19, foi descoberto pela Trend Micro. O arquivo é espalhado por meio de domínios legítimos, como o do Facebook, Google, Globo, MSNe Terra, com o propósito de dificultar a detecção por parte das ferramentas de segurança e confundir usuários.
A fabricante de antivírus reconheceu quedesconhece como os criminosos conseguiram colocar o arquivo maliciosos nos endereços legítimos. No entanto, sabe-se que os usuários afetados estavam acessando IPs diferentes dos reais, ou seja, estavam sendo redirecionadas. É possível que o golpe esteja relacionado com os redirecionamentos feitos através do ataque a modems.
Ao acessar os sites falsos, a vítima é direcionada para um de dois IPs diferentes, onde os softwares que roubam senhas realmente estão hospedados.
Ao se instalar, o banker passa a enviar informações, como endereço IP e sistema operacional utilizado pela vítima, para um servidor específico. O código malicioso também baixa um arquivo de configuração responsável por redirecionar o usuário para páginas falsas de instituições bancarias.
A cada vez que a vítima tentar acessar um site bancário afetado pelo malware, a mensagem “Aguarde, carregando o sistema de segurança” é exibida, dando a entender que um componente de segurança do site está sendo carregado. Na verdade, neste ponto o internauta está sendo redirecionado para uma página clonada.
O Internet Explorer é aberto com a página falsa, que sempre contém um “_” (underline) antes do título da página. O vírus também remove o GbPlugin – plugin de segurança necessário para realizar transferências bancárias online, usando uma função do Gmer, programa legítimo destinado a remoção de malwares.
Segundo a Trend Micro, no momento da análise, mais de 3000 máquinas já haviam sido infectadas pelo código malicioso. Outras variantes do mesmo malware já foram encontradas pela empresa de segurança, o que pode indicar que o vírus ainda está em desenvolvimento.
http://www.linhadefensiva.org/
Nenhum comentário:
Postar um comentário