• Ataques Man-in-the-Browser e Sofisticação no Uso de Malware

    Publicado em 20-08-2013 17:00
    0 Comentários Comentários
    Quando os cibercriminosos usam os ataques Man-in-the-Browser (MITB) para cometer fraudes on-line, as instituições financeiras não são seus únicos alvos. Sites de namoro, eCommerce e sites de viagens também estão sendo fortemente atacados, além da indústria de jogos. Enquanto alguns cibercriminosos se concentram em invadir redes de empresas de jogos, conforme demonstrado pela PlayStation, Club Nintendo, Ubisoft, Konami e muitos outros que sofreram ação de crackers, outros utilizam malwares altamente sofisticados para roubar credenciais de clientes.


    Malware Ranmit, Injeção HTML e Roubo de Credenciais

    A equipe de segurança da Trusteer identificou recentemente uma nova configuração do malware Ramnit, que utiliza injeção HTML para atacar a Steam, que é a maior plataforma de distribuição digital para jogos online. Neste ataque, o Ranmit contorna com sucesso o sistema de criptografia de senha do site. Com uma estimativa de participação de mercado entre 50 e 70%, mais de 2.000 títulos e mais de 54 milhões de usuários ativos, a Steam é um alvo perfeito para ataques de malware.


    Esta não é a primeira vez que o Steam tem sido alvo de cibercriminosos - ataques de phishing e roubo de credenciais com o uso de malware têm atingido os usuários do Steam por vários anos. No entanto, Ramnit utiliza técnicas muito mais avançadas para coletar dados, bem como evitar a detecção.


    Captura de Dados em Texto Simples

    Além disso, a equipe de segurança da Trusteer identificou o seguinte código no arquivo de configuração do Ramnit: quando um usuário acessa a página de login da Steam e entra com seu nome de usuário e senha, o formulário é criptografado usando a chave pública do site. Para dar um bypass nessa criptografia do lado do cliente, Ramnit injeta um pedido de senha que lhe permite capturar os dados em texto simples. A injeção deste elemento, indicado como PWD2, pode ser vista na segunda parte do código abaixo:




    Embora esta técnica simples seja boa para superar a criptografia do lado do cliente, ela também levanta uma questão - o servidor da Steam não está à espera de receber este novo elemento (PWD2), quando o formulário for enviado. De fato, algumas soluções de segurança detectam malware via MITB, procurando por formas com elementos injetados. Por exemplo, se um formulário com um nome de usuário e senha é preenchido pelo usuário e enviado para o site, o produto fará a varredura de segurança para procurar elementos desconhecidos, que podem indicar o malware no processo de injeção HTML. Se o formulário chega ao site com um número de cartão de crédito do usuário e senha- isto irá disparar um alarme indicando que o usuário foi vítima de um ataque MITB.

    Para evitar a detecção, o malware Ramnit, simplesmente, garantirá que o servidor nunca perceberá o processo de injeção. Para isso, antes do formulário ser enviado para o site, Ramnit remove o elemento injetado. Isto pode ser observado na primeira parte do código:




    Diante disso, alguém poderia perguntar: por que os cibercriminosos passam por todas as dificuldades de injetar um elemento e, em seguida, removem-nos quando se pode, simplesmente, recolher os dados usando a capacidade de key-logging do Ramnit? A resposta é simples: através do form grabbing, o cibercriminoso pode, facilmente, ter acesso ao índice de todos os dados que foram coletados.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/malware_news.php?id=2565
    + Enviar Comentário