IDG Now!: Cibercrime brasileiro agora compra kit de ataque no Leste Europeu

Cibercrime brasileiro agora compra kit de ataque no Leste Europeu

'Bankers' estão começando a adotar o uso de "exploit kits" - pacotes de códigos maliciosos prontos e negociados entre eles para automatizar ataques via web

Cibercriminosos brasileiros estão começando a adotar o uso de "exploit kits" - pacotes de códigos maliciosos prontos e negociados entre eles para automatizar ataques via web. De acordo com a Kaspersky, o kit mais comum é oBlackHole, criado e largamente usado no Leste europeu. 

O BlackHole explora bugs de segurança em softwares populares. De acordo com a empresa, bankers (cibercriminosos especializados em ataques contra contas bancárias) brasileiros e do Leste europeu negociam o kit. Uma cópia da versão mais recente do BlackHole custa em média 2,5 mil dólares. Os desenvolvedores também alugam ou vendem versões pré-pagas do kit – o aluguel pode sair por 50 dólares por dia de uso. "Os kits ainda fornecem estatísticas, informando quantos internautas acessaram as páginas infectadas, quantos foram infectados com sucesso e qual a falha que mais foi usada com sucesso", diz Fabio Assolini, analista de malware da Kaspersky no Brasil, noblog da empresa.

De acordo com a análise da Kaspersky, o BlackHole agora está sendo usado em ataques no País para promover a instalação de trojans bancários e, dessa forma, roubar usuários de internet banking. O método deixa os usuários expostos a mais riscos enquanto navegam, com maior possibilidade de infecção sem que percebam o ataque, geralmente bem elaborados e com baixa taxa de detecção e bloqueio pelas soluções de segurança mais usadas.

De acordo com Fabio Assolini, “o uso de exploit kits por cibercriminosos brasileiros indica que mais usuários estarão em risco, elevando os ataques a outro patamar e potencializando a distribuição de trojans bancários”, afirma o analista.

Engenharia social No Brasil, os ataques usando Blackhole exploram a curiosidade do internauta. Um exemplo recentemente é um e-mail oferecendo um suposto vídeo da “Juju Panicat” (imagem abaixo). Ao clicar no link, os usuários foram redirecionados para uma página maliciosa no domínio co.cc, onde os códigos do exploit kit estavam prontos para entrarem em ação, sem ser preciso qualquer outra ação da vítima.

^{E-mail com link que leva para página contaminada}

Ao cair na página infectada, o usuário vê uma mensagem de "Loading", enquanto o malware trabalha. Nesse ponto o exploit kit já estará em ação, realizando diversos testes para verificar quais softwares desatualizados há na máquina. O vírus tenta encontrar qual versão de leitor de PDF está configurado no navegador, assim como as versões do Java, Flash Player, e até mesmo a do Windows. A partir dessa análise, o exploit kit dará o próximo passo para concluir a infecção, executando o código malicioso de acordo com o programa desatualizado encontrado.

O exploit kit baixa um trojan (Cavalo de Tróia), automaticamente executado. Este vírus configurar um proxy malicioso no navegador. Assim, da próxima que a vítima acessar seu banco, irá cair em uma página-clone, e terá seus dados roubados.

Assolini teve acesso ao painel de controle do caso. No momento da análise, 905 computadores estavam infectados, 378 destes no Brasil. Em um único dia, o banker infectou 171 pessoas.

Usuários de Internet Explorer e Windows XP (que ainda são bastante usados no Brasil) foram os maiores infectados. Percentualmente, menos de 5% dos usuários do Google Chrome que foram expostos ao golpe foram infectados, contra 23% do Internet Explorer.

ProteçãoA recomendação é manter os plugins atualizados: Flash Player, Java e leitor de arquivos PDF. Devido ao grande número de ataques envolvendo o Java, especialistas sugerem que os usuários removam o plugin ou desative-o. “Basta que apenas um software esteja desatualizado em seu PC para que você seja vítima de um ataque como esse. Um antivírus atualizado também é essencial para completar a proteção do computador”, alerta Assolini.