Novo código malicioso rouba dados bancários via Windows 64 bits

Ataque de vírus

PRIMEIRO ROOTKIT BANKER BRASILEIRO

Pesquisadores de segurança detectaram um novo rootkit criado especificamente para infectar as versões 32 e 64 bits do Windows e roubar dados de internet banking dos usuários. É o primeiro malware deste tipo capaz de comprometer sistemas x64.

O novo rootkit está sendo usado por criminosos no Brasil como parte de ataques do tipo “drive-by” para roubar os dados de internet banking dos usuários após a infecção. Nesse tipo de ataque são baixados e instalados malwares na máquina do usuário no momento em que ele visita um site comprometido.

Outro detalhe sobre o rootkit é que ele é capaz de alterar algumas configurações de inicialização nas máquinas infectadas e também redireciona os usuários para sites de phishing.

O ataque drive-by usado pelos criminosos é realizado usando um applet Java criado para rodar em versões antigas do Java Runtime Environment. O applet inclui diversos arquivos que realizam diferentes tarefas depois que são instalados no PC do usuário. Um destes arquivos pode até mesmo desativar o User Account Control (UAC) do Windows. (Veja mais no Baboo)

SITE POPULAR INFECTADO

Embora não tenha revelado o nome, a Folha de S.Paulo confirmou que “um popular site brasileiro” foi infectado com software malicioso que, ao ser executado no computador do usuário que visitava a página, alterava o seu sistema, visando o roubo de dados bancários.

A ameaça foi detectada pela empresa de segurança Kaspersky, que a classifica como o primeiro “rootkit banker” brasileiro criado para infectar sistemas 64-bit (teoricamente mais seguros do que sistemas 32-bit).

Rootkit é, basicamente, uma ferramenta que permite o acesso privilegiado a um sistema. Geralmente é difícil de detectar e pode, por exemplo, abrir portas para a instalação de outros programas maliciosos no sistema da vítima.

O rootkit em questão é classificado como banker porque visava o roubo de dados bancários.

O site infectado continha um applet (pequeno aplicativo) que podia ser executado -em sistemas 32-bit e 64-bit– automaticamente, a depender da versão do JRE (Java Runtime Environment) instalada no computador da vítima.

Ao ser executado, o applet modificava o registro do Windows, instalava drivers maliciosos, alterava um arquivo e removia um plug-in de segurança usado por alguns sites de bancos brasileiros.

Com o sistema infectado, a vítima era redirecionada a sites falsos de bancos, usados para roubar dados. As páginas enganosas chegavam a exibir no navegador o uso de conexão segura (HTTPS), com o cadeado de segurança.

O rootkit e os arquivos maliciosos são detectados pela Kasperksy como Rootkit.Win64.Banker.a, Rootkit.Win32.Banker.dy e Trojan-Dropper.Java.Agent.e.

A empresa recomenda que usuários mantenham seus sistemas atualizados para diminuir a chance de serem vítimas de ataques de hackers.

2 comentários em “Novo código malicioso rouba dados bancários via Windows 64 bits

  • 20 de maio de 2011 em 15:32
    Permalink

    Que “melda”!!! Eu aqui toda curiosa para saber que raio de “site famoso” é esse e a Folha não informa. Deve de ser poderoso, só pode.
    Depois é que eu vi um comentarista dizer que a Kaspersky não pode revelar isso pois seria alvo de processos pelos donos do site infectado. Que “josta”!!!

    Resposta
    • 20 de maio de 2011 em 17:43
      Permalink

      Sabe porque a Folha não quis revelar o nome do misterioso SITE POPULAR que foi vítima do ataque? Simples, mamita: FOI O PRÓPRIO SITE DA FOLHA / UOL quem levou a traulitada hackeriana. Não foi ela quem noticiou o caso em primeira mão? ENTÃO! Só que ela não vai dar mole, num é mermo? rsrs

      Resposta

Deixe um comentário simpático neste artigo: