• Descobertas Sobre o Trojan "Georbot"

    A ESET divulgou uma análise referente ao Trojan Georbot. Essa praga cibernética é especialista em roubar informações e vem se espalhando na Geórgia (o que origina o nome da botnet). No início deste ano de 2012, a equipe de pesquisa global da ESET descobriu o Win32/Georbot, um botnet que apresenta algumas características muito interessantes de comunicação. Entre outras atividades, ele tenta roubar documentos e certificados, além de ser capaz de criar gravações em áudio e vídeo, e ainda pode navegar em uma rede local para obter informações.

    De forma curiosa, esse trojan utiliza um site governamental georgiano para atualizar o seu sistema de "Comando e Controle" (C & C) e por causa disso, os pesquisadores da ESET acreditam que o "Georbot" tem como alvo prioritário, usuários de computador na Geórgia. Outra característica incomum do programa malicioso, é que ele procura "Remote Desktop Configuration Files" e, portanto, permite que atacantes roubem esses arquivos para enviá-los para máquinas remotas sem explorar qualquer vulnerabilidade.


    Desenvolvimento do Trojan e Comprometimento de Sistemas

    Nesse cenário de ameaça, o fator mais preocupante é que o desenvolvimento deste malware está em curso. Além disso, todas as variantes que foram encontradas pela ESET são muito recentes, pois sua descoberta ocorreu no dia 20 de março de 2012. De acordo com as considerações de Pierre Marc-Bureau, Security Manager do Programa de Inteligência da ESET, "isso não significa, automaticamente, que o governo da Geórgia esteja envolvido. Muitas vezes as pessoas não estão conscientes de que seus sistemas estão comprometidos por essas pragas do mundo virtual".



    Trojan Georbot é mais uma Ameaça Desenvolvida pelos Cibercriminosos


    Há a grande necessidade de perceber, que a Agência de Intercâmbio de Dados do Ministério da Justiça da Geórgia e sua CERT nacional, estavam conscientes da situação desde o início de 2011 e, em paralelo, cooperou com o ESET nesta matéria. De todas as máquinas infectadas, 70 por cento delas foram localizadas na Geórgia. Nessa sequência, foram encontradas máquinas infectadas nos Estados Unidos, na Alemanha e na Rússia.


    Painel de Controle e Características do Trojan

    O "Georbot" possui um mecanismo de atualização de se transformar em novas versões, e isso acontece como uma tentativa de passar despercebido pelos scanners anti-malware. Além disso, o bot também possui um mecanismo de fallback , não podendo alcançar o servidor C & C, situação na qual ele irá se conectar a uma página especial que foi colocada em um sistema oferecido pelo governo georgiano.

    Os pesquisadores da ESET também foram capazes de obter acesso ao painel de controle do bot, dando informações claras sobre o número de máquinas afetadas, a sua localização e seus possíveis comandos. A informação mais interessante encontrada no painel de controle foi uma lista, contendo todas as palavras-chave que foram alvo nos documentos sobre os sistemas infectados. Entre as palavras-chave, todas elas no idioma Inglês, estão: ministry, service, secret, agent, USA, Russia, FBI, CIA, weapon, FSB, KGB, phone e number.

    A funcionalidade de gravar vídeo através da webcam, tirar screenshots, e lançar ataques DDoS foi usada diversas vezes. "O fato do trojan usar um site georgiano para atualizar o seu C & C, provavelmente sendo o mesmo site usado para a sua propagação, sugere claramente, que pessoas na Geórgia possam ser um alvo primário. Por outro lado, o nível de sofisticação para esta ameaça é baixa. Os investigadores da ESET acham, que se esta operação fosse patrocinada por um Estado, teria características mais profissionais e furtivas. A hipótese mais provável é que o Win32/Georbot tenha sido criado por um grupo de criminosos que tentam encontrar informações sigilosas, a fim de vendê-las para outras organizações.


    Sagacidade e Sofisticação do Cibercrime

    Conforme um pronunciamento do pesquisador sênior da ESET, Righard Zwienenberg, "o cibercrime está se tornando cada vez mais profissional e orientado, como se fosse uma partida de futebol decisiva, onde os melhores jogadores entram em campo". O pesquisador também acrescentou que "o Win32/Stuxnet e Win32/Duqu são exemplos de crimes cibernéticos de alta tecnologia e serviram a um propósito específico, mas a Win32/Georbot, (surgindo com um nível de sofisticação ainda inferior), tem características únicas e métodos para chegar exatamente aonde os seus desenvolvedores planejaram.


    Saiba Mais:

    [1] Help Net Security http://www.net-security.org/malware_news.php?id=2045

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L