A empresa de segurança Intego revelou informações a respeito de um ataque direcionado a usuários de Mac OS X na terça-feira (30/10). Criminosos publicaram posts contendo links para supostos sites pornográficos em diversos fóruns freqüentados por usuários do sistema da Apple, mas os websites referenciados pelos links exigem que os visitantes instalem um “codec” para ver o conteúdo adulto. O “codec” é, na verdade, um cavalo de tróia.
O formato do golpe utilizado segue o padrão do “falso codec”. Este tipo de tática é empregada por criminosos desde 2005. “Codecs” são pequenos programas responsáveis pela codificação/decodificação (reprodução) de vídeo e áudio utilizados por programas como o Windows Media Player, BSPlayer, Media Player Classic e outros reprodutores de mídia digital. No caso do Mac, a página diz ao usuário que o QuickTime “é incapaz de reproduzir o vídeo” e que o usuário deve então baixar e instalar o codec apropriado.
Se o website malicioso for visitado por um usuário de Windows, uma variante do trojan Zlob será instalada. O Zlob é responsável pela infecção Smitfraud, 3ª colocada no ranking de pragas digitais da Linha Defensiva de outubro. O trojan servido aos usuários de Mac, batizado de RSPlug, apenas modifica os servidores DNS — que são usados pelo sistema para descobrir o endereço de “nomes” como www.linhadefensiva.org –, o que pode permitir que os invasores direcionem as vítimas para sites falsos.
Nenhuma falha de segurança é explorada pelo ataque, apenas o usuário é enganado. O vírus, no entanto, exibe sua sofisticação no fato de que, de acordo com a Intego, existem diversas versões diferentes do arquivo malicioso. Esta tática é comumente usada para inutilizar a proteção antivírus. Para manter o servidor de DNS malicioso ativo no sistema, uma tarefa agendada (”crontab”) é criada para verificar e reconfigurar o DNS a cada minuto, impedindo que o mesmo seja alterado.
Alex Eckelberry, presidente da companhia de segurança Sunbelt Software, nota que não há grande risco de usuários serem redirecionados para páginas falsas do eBay, do Paypal ou de bancos por causa do trojan, e que o usuários de Mac precisam completar alguns passos (entre eles preencher a senha de root) para instalarem o trojan, “Até onde sabemos, [o trojan] não se espalhou muito. Mas este é o primeiro ataque real e direcionado aos usuários de Mac realizado por um grupo de malware profissional”, escreveu Eckelberry no blog da sua empresa.
Até a descoberta do RSPlug, as pragas para Mac OS X resumiram-se a “provas de conceito” que pouco faziam além de demonstrar a possibilidade da criação de pragas digitais para a plataforma. O primeiro vírus e também o primeiro worm para o sistema foi o Leap, espalhado em apenas um tópico em apenas um fórum em fevereiro de 2006. Ele foi seguido pelo worm Inqtana, o primeiro código malicioso a utilizar uma falha de segurança na plataforma.
O Windows é alvo de vários trojans que alteram os servidores de DNS usados pelo sistema, entre eles o Flush e o DNSChanger. Anti-spywares falsos da família “Wareout” também são conhecidos por fazerem esta modificação. Os servidores falsos localizam-se em diversos países; de acordo com as empresas de segurança, o RSPlug usa um servidor em Belarus.
Não há disponível nenhuma lista de sites monitorados ou alterados pelos criminosos que operam estes servidores de DNS, embora acredite-se que sites de cartão de crédito e banco sejam possíveis alvos.
[ Correção 08/11 às 17:50 ] Informações da Sunbelt Software mostram que o trojan, ao contrário do que foi informado pela Intego, não redireciona sites de bancos e cartões de crédito. Em vez disso, ele altera os resultados em sites de busca como o Google, servindo links patrocinados em vez dos originais, o que gera lucro aos criadores do código malicioso. Isto, no entanto, é apenas uma diferença do uso dos redirecionamentos, já que, teoricamente, é possível que qualquer site seja redirecionado pelos criminosos
Pergunta
Northon 3
A empresa de segurança Intego revelou informações a respeito de um ataque direcionado a usuários de Mac OS X na terça-feira (30/10). Criminosos publicaram posts contendo links para supostos sites pornográficos em diversos fóruns freqüentados por usuários do sistema da Apple, mas os websites referenciados pelos links exigem que os visitantes instalem um “codec” para ver o conteúdo adulto. O “codec” é, na verdade, um cavalo de tróia.
O formato do golpe utilizado segue o padrão do “falso codec”. Este tipo de tática é empregada por criminosos desde 2005. “Codecs” são pequenos programas responsáveis pela codificação/decodificação (reprodução) de vídeo e áudio utilizados por programas como o Windows Media Player, BSPlayer, Media Player Classic e outros reprodutores de mídia digital. No caso do Mac, a página diz ao usuário que o QuickTime “é incapaz de reproduzir o vídeo” e que o usuário deve então baixar e instalar o codec apropriado.
Se o website malicioso for visitado por um usuário de Windows, uma variante do trojan Zlob será instalada. O Zlob é responsável pela infecção Smitfraud, 3ª colocada no ranking de pragas digitais da Linha Defensiva de outubro. O trojan servido aos usuários de Mac, batizado de RSPlug, apenas modifica os servidores DNS — que são usados pelo sistema para descobrir o endereço de “nomes” como www.linhadefensiva.org –, o que pode permitir que os invasores direcionem as vítimas para sites falsos.
Nenhuma falha de segurança é explorada pelo ataque, apenas o usuário é enganado. O vírus, no entanto, exibe sua sofisticação no fato de que, de acordo com a Intego, existem diversas versões diferentes do arquivo malicioso. Esta tática é comumente usada para inutilizar a proteção antivírus. Para manter o servidor de DNS malicioso ativo no sistema, uma tarefa agendada (”crontab”) é criada para verificar e reconfigurar o DNS a cada minuto, impedindo que o mesmo seja alterado.
Alex Eckelberry, presidente da companhia de segurança Sunbelt Software, nota que não há grande risco de usuários serem redirecionados para páginas falsas do eBay, do Paypal ou de bancos por causa do trojan, e que o usuários de Mac precisam completar alguns passos (entre eles preencher a senha de root) para instalarem o trojan, “Até onde sabemos, [o trojan] não se espalhou muito. Mas este é o primeiro ataque real e direcionado aos usuários de Mac realizado por um grupo de malware profissional”, escreveu Eckelberry no blog da sua empresa.
Até a descoberta do RSPlug, as pragas para Mac OS X resumiram-se a “provas de conceito” que pouco faziam além de demonstrar a possibilidade da criação de pragas digitais para a plataforma. O primeiro vírus e também o primeiro worm para o sistema foi o Leap, espalhado em apenas um tópico em apenas um fórum em fevereiro de 2006. Ele foi seguido pelo worm Inqtana, o primeiro código malicioso a utilizar uma falha de segurança na plataforma.
O Windows é alvo de vários trojans que alteram os servidores de DNS usados pelo sistema, entre eles o Flush e o DNSChanger. Anti-spywares falsos da família “Wareout” também são conhecidos por fazerem esta modificação. Os servidores falsos localizam-se em diversos países; de acordo com as empresas de segurança, o RSPlug usa um servidor em Belarus.
Não há disponível nenhuma lista de sites monitorados ou alterados pelos criminosos que operam estes servidores de DNS, embora acredite-se que sites de cartão de crédito e banco sejam possíveis alvos.
[ Correção 08/11 às 17:50 ] Informações da Sunbelt Software mostram que o trojan, ao contrário do que foi informado pela Intego, não redireciona sites de bancos e cartões de crédito. Em vez disso, ele altera os resultados em sites de busca como o Google, servindo links patrocinados em vez dos originais, o que gera lucro aos criadores do código malicioso. Isto, no entanto, é apenas uma diferença do uso dos redirecionamentos, já que, teoricamente, é possível que qualquer site seja redirecionado pelos criminosos
Creditos:
LInha Defensiva
Link para o comentário
Compartilhar em outros sites
0 respostass a esta questão
Posts Recomendados