Instituições Bancárias na Mira do Linux/Chapro.A

Através da análise de um módulo Apache malicioso, detectado pela ESET como Linux / Chapro.A, foi descoberto que o servidor web mais amplamente utilizado está sendo usado para levar a cabo estes ataques, injetando conteúdo malicioso em páginas web alimentadas por um servidor Linux infectado, sem que haja conhecimento do dono do site. Embora o malware possa oferecer praticamente qualquer tipo de conteúdo, neste caso específico ele instala uma variante do malware Win32/Zbot, projetado para roubar informações de clientes de bancos online.


Apesar desta versão particular do Win32/Zbot ter o objetivo de atacar instituições bancárias européias e russas, Linux / Chapro.A poderia eventualmente ser usado para montar ataques a bancos americanos. "O ataque descrito na presente análise mostra a complexidade crescente de ataques de malware", disse Pierre-Marc Bureau, Security Manager do Programa de Inteligência da ESET. "Este caso complicado se espalha por três países diferentes e tornando-se muito difícil para as agências de law enforcement realizar uma investigação aprofundada e mitigar seus efeitos."

O módulo malicioso possui recursos interessantes que são usados ​​para reduzir suas chances de serem visto por administradores de sistema, como a criação de cookies na máquina da vítima e a ocultação de navegadores web, situação na qual pode ser produzido um erro.

Os pesquisadores da ESET descobriram Linux / Chapro.A em novembro. O exploit foi bloqueado pelo ESET através do método de detecção genérica, mesmo antes de ter sido adicionado à lista negra de URL. No momento da análise, o servidor de comando e controle malicioso foi sendo hospedado na Alemanha, mas recentemente ficou offline.


Saiba Mais:

[1] Net Security http://www.net-security.org/malware_news.php?id=2364