PRIMEIRO ROOTKIT BANKER BRASILEIRO

Pesquisadores de segurança detectaram um novo rootkit criado especificamente para infectar as versões 32 e 64 bits do Windows e roubar dados de internet banking dos usuários. É o primeiro malware deste tipo capaz de comprometer sistemas x64.

O novo rootkit está sendo usado por criminosos no Brasil como parte de ataques do tipo “drive-by” para roubar os dados de internet banking dos usuários após a infecção. Nesse tipo de ataque são baixados e instalados malwares na máquina do usuário no momento em que ele visita um site comprometido.

Outro detalhe sobre o rootkit é que ele é capaz de alterar algumas configurações de inicialização nas máquinas infectadas e também redireciona os usuários para sites de phishing.

O ataque drive-by usado pelos criminosos é realizado usando um applet Java criado para rodar em versões antigas do Java Runtime Environment. O applet inclui diversos arquivos que realizam diferentes tarefas depois que são instalados no PC do usuário. Um destes arquivos pode até mesmo desativar o User Account Control (UAC) do Windows. (Veja mais no Baboo)

SITE POPULAR INFECTADO

Embora não tenha revelado o nome, a Folha de S.Paulo confirmou que “um popular site brasileiro” foi infectado com software malicioso que, ao ser executado no computador do usuário que visitava a página, alterava o seu sistema, visando o roubo de dados bancários.

A ameaça foi detectada pela empresa de segurança Kaspersky, que a classifica como o primeiro “rootkit banker” brasileiro criado para infectar sistemas 64-bit (teoricamente mais seguros do que sistemas 32-bit).

Rootkit é, basicamente, uma ferramenta que permite o acesso privilegiado a um sistema. Geralmente é difícil de detectar e pode, por exemplo, abrir portas para a instalação de outros programas maliciosos no sistema da vítima.

O rootkit em questão é classificado como banker porque visava o roubo de dados bancários.

O site infectado continha um applet (pequeno aplicativo) que podia ser executado -em sistemas 32-bit e 64-bit– automaticamente, a depender da versão do JRE (Java Runtime Environment) instalada no computador da vítima.

Ao ser executado, o applet modificava o registro do Windows, instalava drivers maliciosos, alterava um arquivo e removia um plug-in de segurança usado por alguns sites de bancos brasileiros.

Com o sistema infectado, a vítima era redirecionada a sites falsos de bancos, usados para roubar dados. As páginas enganosas chegavam a exibir no navegador o uso de conexão segura (HTTPS), com o cadeado de segurança.

O rootkit e os arquivos maliciosos são detectados pela Kasperksy como Rootkit.Win64.Banker.a, Rootkit.Win32.Banker.dy e Trojan-Dropper.Java.Agent.e.

A empresa recomenda que usuários mantenham seus sistemas atualizados para diminuir a chance de serem vítimas de ataques de hackers.