Exploração dos Eventos do Momento
Em julho, a Kaspersky Lab continuou a gravar mensagens em massa em que spammers estariam explorando o interesse nos grandes eventos do mês. Por exemplo, o nascimento tão esperado do bebê real na Grã-Bretanha e o escândalo de espionagem envolvendo Edward Snowden, não passou despercebido pelos spammers. Os atacantes mantiveram a tradição de enviar e-mails com links maliciosos, imitando mensagens legítimas com links que levariam a notícias de última hora. Por exemplo, a excitação em torno do nascimento do bebê real foi utilizada em serviços de impressão de propaganda e equipamentos de publicidade.
Propagandas Falsas de Produtos de Emagrecimento
O escândalo envolvendo o ex-oficial de inteligência dos EUA Edward Snowden, era usado pelos spammers para fazer propaganda de produtos de emagrecimento. O truque era que esses bens não haviam sido sequer mencionados no assunto do e-mail e o texto da mensagem ofereceu os detalhes da história de Snowden, ao invés dos métodos de perda de peso. No entanto, o link para os "detalhes" contidos no e-mail levou a uma página de publicidade.
Além disso, o mês sagrado para os muçulmanos, quando comemoram o Ramadã, começou no início de julho. Todos os anos, a Kaspersky Lab registra e-mails em massa que exploram este tema e este ano, não foi uma exceção. Ele gravou várias mensagens em massa no idioma Inglês, incluindo não apenas anúncios sobre o Ramadã, mas também oferecendo automóveis e férias de verão para as crianças. Nos meses de Verão, o "spam turismo" também é muito popular e a Kaspersky Lab continuou a registar e-mails maliciosos supostamente enviados em nome de diversas companhias aéreas. Em julho, a Kaspersky Lab registrou notificações falsas da "United Airlines".
O e-mail afirma que o número de assentos em um próximo voo tinha sido alterado e as informações de vôo atualizadas estavam disponíveisl no arquivo anexo "flight document upgrade.doc.zip". O arquivo continha um executável com esse nome, que é detectado pela Kaspersky Lab como Backdoor.Win32.Vawtrak.a. Esse backdoor é então, usado pelos fraudadores para roubar senhas armazenadas em navegadores, bem como senhas de clientes de FTP e e-mail. Este malware também envia screenshots do desktop do usuário e dá aos cibercriminosos, acesso total ao computador infectado, permitindo que os atacantes possam baixar e executar vários arquivos nele.
Spam em Supostos E-mails de Serviços de Publicidade
Em julho, os especialistas da Kaspersky Lab também registraram e-mails em massa de serviços de publicidade e produtos para animais de estimação, para tocar em alta demanda global nesse mercado. Os spammers promoveram ofertas nos idiomas russo e Inglês. Além disso, a China ficou em primeiro lugar com 23,4 por cento de todo o spam distribuído, apresentando uma ligeira queda em relação ao mês anterior ( 23,9 por cento). Os EUA ficou em segundo lugar, contribuindo com 18 por cento do fluxo de spam global, até 0,8 pontos percentuais em relação a junho. A Coréia do Sul foi o terceiro depois de um pequeno aumento (0,4 pontos percentuais), com média de 14,9 por cento em julho. Combinados, esses três líderes produziram mais de um terço do spam mundial.
Carberp e Versões Mais Modernas de Trojans Bancários
Enquanto as primeiras versões do Carberp eram bastante simples na época de seu desenvolvimento, as versões mais recentes estão agora equipadas com uma impressionante lista de funcionalidades: ele agora pode ser executado em todas as versões do Windows, incluindo o Windows 7, Windows Vista e XP, onde, de acordo com a TrustDefender, é capaz de fazer seu trabalho sem que haja a necessidade de privilégios de administrador.
Em uma análise técnica, isso não é particularmente notável – os privilégios do usuário são, por exemplo, suficientes para registrar-se como uma extensão do navegador. Isso permitiria que um trojan pudesse ler e modificar o tráfego criptografado (banking on-line) exatamente através de um ataque "man-in-the-browser". As versões mais recentes dos trojans bancários roubam dados criptografados antes de serem transferidos, utilizando uma chave aleatória, que o cliente registra com o servidor de controle. Até agora, os bots têm utilizado chaves estáticas codificadas no próprio programa, o que naturalmente, facilitaria muito a vida para os especialistas em antivírus.
Além disso, o aspecto mais interessante é que essas funções foram adicionadas ao Carberp durante um período de poucos meses. Uma guerra de sucessão para a "base de clientes do Zeus", atualmente transtorna o setor de fraudes bancárias on-line. Nesse contexto, Carberp e SpyEye estão entre os pioneiros, mas é difícil prever o resultado final de tudo isso. O trabalho de combate à essas pragas é bastante árduo, bastante complexo, pois trojans em versões cada mais sofisticadas e ousadas estão surgindo, deixando os especialistas da área de segurança em alerta permamente.
Trojans Utilizam Plugins Infectados
Muitos trojans utilizam plug-ins infectados, e estão programados para pagar contas ou realizar transferências de grandes valores de dinheiro. Alguns novos trojans estão conseguindo executar todas as operações bancárias possíveis via internet banking. Basta a vítima estar logada na página do internet banking, que o trojan ativo na máquina irá fazer as operações de roubo.
Além disso, as estratégias tradicionais de captura de credenciais do Internet Banking e o redirecionamento de páginas de phising acabam sendo consideradas como suspeitas pelo banco e são canceladas, pois são geradas a partir de um PC ou IP diferente. Já a nova técnica é muito mais perigosa, pois não levanta suspeitas, visto que é realizada no próprio computador da vítima. Isso coloca em risco até mesmo as contas de bancos, que exigem o cadastramento de computadores, no qual detalhes específicos dos computadores dos clientes são registrados pelo banco, como o número de série do HD ou o MAC address.
Conforme notícias que já foram veiculadas pelo Risk Report, a Kaspersky Lab tem encontrado diversos trojans bancários brasileiros se comportando dessa maneira, da mesma forma que se comportavam trojans mais antigos, como o ZeuS.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2574