A Kaspersky divulgou a nota abaixo com o relato de um caso muito serio!! Não é algo novo, eu mesmo já vi isso com meus próprios olhos pelo menos 4 a 5 anos atrás. Mas os malfeitores virtuais voltaram a usar esta técnica com modernizados retoques de sofisticação.
Proxy é um servidor que concentra acessos de Internet, principalmente Web (HTTP) de tal forma que se uma pessoa acessa, por exemplo, o site do UOL todas as imagens já ficam armazenadas e um acesso subsequente não vai requisitar o UOL novamente e assim carregar as imagens bem mais rápido (até que expire o prazo de validade da página - importante para quem divulga notícias). Isso na rede local pode ter impacto dramático no desempenho do acesso às páginas tornando muito melhor a experiência de navegação.
A Microsoft inclui em seus produtos (Internet Explorer e Windows) o prático recurso de detecção automática de Proxy, ótimo para o ambiente de empresa, pois facilita a configuração principalmente em redes com muitos computadores. O que este malware citado pela Kaspersky faz é por meio de um arquivo bastante pequeno, mudar o Proxy para um servidor "viciado".
No passado o que eu tinha visto era um tipo de infecção, notadamente por anexo malicioso em e-mail que simplesmente ao ser acionado mudava o proxy do navegador e se auto apagava. Assim um programa antivírus não tinha o quê detectar, mas o estrago já tinha sido feito, o desvio de toda navegação pelo servidor proxy "venenoso".
De certa forma este tipo de ataque se assemelha ao "envenenamento de DNS" uma vez que o efeito prático é que ao direcionar toda navegação pelo Proxy, este tem o poder de direcionar um acesso ao www.itau.com.br, www.bradesco.com.br, etc. para um site falso feito especialmente para roubar dados e também $$$ das pessoas.
Mais detalhes podem ser vistos na nota abaixo divulgada pela Kaspersky.
Flavio Xandó
PAC: o
problema dos proxies maliciosos
Pesquisa inédita
da Kaspersky mostra como técnica de ataque aprimorada no Brasil permite o roubo
de contas bancárias usando pequenos arquivos de 1 kilobyte.
A Kaspersky Lab apresentou na última
edição do Virus
Bulletin, evento internacional que reúne empresas e analistas de companhias
antivirus de todo o mundo, uma pesquisa inédita detalhando como uma técnica de
ataque aprimorada no Brasil e exportada para outros países tem sido usada
largamente para roubar contas bancárias e credenciais de acesso de milhões de
usuários.
O recurso chamado PAC (Proxy
Auto-Config) é uma funcionalidade legítima que existe em todos os navegadores
modernos, ela tem sido abusada em ataques que fazem com que o acesso a
determinadas páginas de internet sejam direcionadas para um servidor de proxy
sob controle de um cibercriminoso. O proxy malicioso pode ser inserido
nas configurações do navegador usando uma URL apontando para um arquivo online
ou para um pequeno arquivo, geralmente menor de 1 kb, salvo no computador da
vítima.
De acordo com Fabio Assolini,
analista senior de malware da Kaspersky no Brasil esse recurso tem sido usado
por cibercriminosos brasileiros, que desde 2009 tem aprimorado esses ataques
visando redirecionar vítimas para sites falsos de Bancos, empresas de cartão de
crédito, serviços de webmail, etc.
Arquivo PAC malicioso configurado no Internet Explorer
e no Firefox: técnica de ataque massivamente usada no Brasil
“Diversos trojans brasileiros tem
usado esse recurso: em média de cada 10 trojans brasileiros, 6 deles possuem
essa função de alterar o proxy do navegador,” afirma Assolini. “É uma mudança
pequena, silenciosa, não percebida pelo usuário, porém efetiva para direcionar
usuários para páginas falsas. O ataque pode afetar todos os navegadores:
Chrome, Firefox e Internet Explorer.”
Página falsa da Caixa aberta em um navegador
comprometido com um PAC malicioso
Tais ataques aumentam sua
potencialidade quando acontecem pela internet: páginas populares infectadas com
applets Java maliciosos geralmente possuem funções de alterar o proxy no
computador das vítimas. Os PACs maliciosos podem afetar usuários de diversos
serviços on-line, direcionando-os para páginas falsas de:
- Bancos
- Cartões de crédito
- Serviços de webmail (Gmail, Hotmail, Outlook, entre outros)
- Serviços de pagamento on-line (Paypal, PagSeguro)
- Serviços de informação financeira (Serasa Experia, Intouch, entre outros)
- Companhias aéreas (visando roubar milhas aéreas)
- Sites de e-commerce (Americanas, Submarino, entre outros)
- Orgãos do governo: sites como o Infoseg e Consultas Integradas também são alvos dos direcionamentos maliciosos.
O objetivo dos cibercriminosos é
sempre o mesmo: após o redirecionamento para o site falso, as credenciais das
vítimas serão roubadas.
Em ataques recentes, a Kaspersky
ainda observou o uso de PACs maliciosos para outros fins: bloquear o acesso aos
sites das companhias antivirus e seus servidores de atualização, direcionar
para sites falsos de venda
e compra de Bitcoins e bloquear o acesso a sites que oferecem ajuda aos
usuários para desinfectar seu computador, como a LinhaDefensiva.org.
A pesquisa mostra ainda como a maioria das suites de segurança não possuem proteção contra esses ataques, que apesar de serem tipicamente brasileiros estão sendo “exportados” para outros países: cibercriminosos brasileiros tem “vendido” tal técnica de ataque para outros criminosos do Leste Europeu.
Mais detalhes sobre a pequisa e
como a tecnologia “Safe Money”, presente nos produtos da Kaspersky como
no Kaspersky Internet Security Multidevice, podem proteger contra tais
ataques, visite nosso blog: http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/pac.
Nenhum comentário:
Postar um comentário