segunda-feira, 7 de outubro de 2013

Proxy Auto Config (PAC): maneira sutil e eficaz de roubar dados e algo mais...

A Kaspersky divulgou a nota abaixo com o relato de um caso muito serio!! Não é algo novo, eu mesmo já vi isso com meus próprios olhos pelo menos 4 a 5 anos atrás. Mas os malfeitores virtuais voltaram a usar esta técnica com modernizados retoques de sofisticação. 

Proxy é um servidor que concentra acessos de Internet, principalmente Web (HTTP) de tal forma que se uma pessoa acessa, por exemplo, o site do UOL todas as imagens já ficam armazenadas e um acesso subsequente não vai requisitar o UOL novamente e assim carregar as imagens bem mais rápido (até que expire o prazo de validade da página - importante para quem divulga notícias). Isso na rede local pode ter impacto dramático no desempenho do acesso às páginas tornando muito melhor a experiência de navegação.

A Microsoft inclui em seus produtos (Internet Explorer e Windows) o prático recurso de detecção automática de Proxy, ótimo para o ambiente de empresa, pois facilita a configuração principalmente em redes com muitos computadores. O que este malware citado pela Kaspersky faz é por meio de um arquivo bastante pequeno, mudar o Proxy para um servidor "viciado".

No passado o que eu tinha visto era um tipo de infecção, notadamente por anexo malicioso em e-mail que simplesmente ao ser acionado mudava o proxy do navegador e se auto apagava. Assim um programa antivírus não tinha o quê detectar, mas o estrago já tinha sido feito, o desvio de toda navegação pelo servidor proxy "venenoso".

De certa forma este tipo de ataque se assemelha ao "envenenamento de DNS" uma vez que o efeito prático é que ao direcionar toda navegação pelo Proxy, este tem o poder de direcionar um acesso ao www.itau.com.br, www.bradesco.com.br, etc. para um site falso feito especialmente para roubar dados e também $$$ das pessoas.

Mais detalhes podem ser vistos na nota abaixo divulgada pela Kaspersky.

Flavio Xandó 




PAC: o problema dos proxies maliciosos
 
Pesquisa inédita da Kaspersky mostra como técnica de ataque aprimorada no Brasil permite o roubo de contas bancárias usando pequenos arquivos de 1 kilobyte.

A Kaspersky Lab apresentou na última edição do Virus Bulletin, evento internacional que reúne empresas e analistas de companhias antivirus de todo o mundo, uma pesquisa inédita detalhando como uma técnica de ataque aprimorada no Brasil e exportada para outros países tem sido usada largamente para roubar contas bancárias e credenciais de acesso de milhões de usuários.
 
O recurso chamado PAC (Proxy Auto-Config) é uma funcionalidade legítima que existe em todos os navegadores modernos, ela tem sido abusada em ataques que  fazem com que o acesso a determinadas páginas de internet sejam direcionadas para um servidor de proxy sob controle de um cibercriminoso.  O proxy malicioso pode ser inserido nas configurações do navegador usando uma URL apontando para um arquivo online ou para um pequeno arquivo, geralmente menor de 1 kb, salvo no computador da vítima.
De acordo com Fabio Assolini, analista senior de malware da Kaspersky no Brasil esse recurso tem sido usado por cibercriminosos brasileiros, que desde 2009 tem aprimorado esses ataques visando redirecionar vítimas para sites falsos de Bancos, empresas de cartão de crédito, serviços de webmail, etc.
 
                               
Arquivo PAC malicioso configurado no Internet Explorer e no Firefox: técnica de ataque massivamente usada no Brasil
 
“Diversos trojans brasileiros tem usado esse recurso: em média de cada 10 trojans brasileiros, 6 deles possuem essa função de alterar o proxy do navegador,” afirma Assolini. “É uma mudança pequena, silenciosa, não percebida pelo usuário, porém efetiva para direcionar usuários para páginas falsas. O ataque pode afetar todos os navegadores: Chrome, Firefox e Internet Explorer.”
 
Página falsa da Caixa aberta em um navegador comprometido com um PAC malicioso
 
Tais ataques aumentam sua potencialidade quando acontecem pela internet: páginas populares infectadas com applets Java maliciosos geralmente possuem funções de alterar o proxy no computador das vítimas. Os PACs maliciosos podem afetar usuários de diversos serviços on-line, direcionando-os para páginas falsas de:
  • Bancos
  • Cartões de crédito
  • Serviços de webmail (Gmail, Hotmail, Outlook, entre outros)
  • Serviços de pagamento on-line (Paypal, PagSeguro)
  • Serviços de informação financeira (Serasa Experia, Intouch, entre outros)
  • Companhias aéreas (visando roubar milhas aéreas)
  • Sites de e-commerce (Americanas, Submarino, entre outros)
  • Orgãos do governo: sites como o Infoseg e Consultas Integradas também são alvos dos direcionamentos maliciosos.


O objetivo dos cibercriminosos é sempre o mesmo: após o redirecionamento para o site falso, as credenciais das vítimas serão roubadas.
Em ataques recentes, a Kaspersky ainda observou o uso de PACs maliciosos para outros fins: bloquear o acesso aos sites das companhias antivirus e seus servidores de atualização, direcionar para sites falsos de venda e compra de Bitcoins e bloquear o acesso a sites que oferecem ajuda aos usuários para desinfectar seu computador, como a LinhaDefensiva.org.

A pesquisa mostra ainda como a maioria das suites de segurança não possuem proteção contra esses ataques, que apesar de serem tipicamente brasileiros estão sendo “exportados” para outros países: cibercriminosos brasileiros tem “vendido” tal técnica de ataque para outros criminosos do Leste Europeu.
Mais detalhes sobre a pequisa e como a tecnologia “Safe Money”, presente nos produtos da Kaspersky como no  Kaspersky Internet Security Multidevice, podem proteger contra tais ataques, visite nosso blog: http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/pac.


Nenhum comentário:

Postar um comentário