A empresa de segurança Kaspersky identificou o primeiro rootkit bancário desenvolvido para também infectar sistemas 64 bits.
Rootkit é um trojan que se camufla usando técnicas avançadas de programação para dificultar a detecção pelo antivírus. A Kaspersky o encontrou a partir de um ataque de drive-by-download feito por cibercriminosos brasileiros por meio de um applet malicioso (Trojan-Dropper.Java.Agent.e) inserido em um popular site nacional.
Segundo a empresa, p golpe explora falhas nas versões antigas do Java Runtime Environment (JRE) e infecta máquinas rodando sistema Windows de 32 bits (Rootkit.Win32.Banker.dy) e 64 bits (Rootkit.Win64.Banker.a).
Ele desativa o Controle de Conta de Usuário e modifica o Registro do Windows, incluindo entidades certificadoras falsas. Desta forma, os criminosos conseguem redirecionar as vítimas para páginas de internet banking falsas.
De acordo com a Kaspersky, as páginas falsas exibem até mesmo o cadeado de segurança na barra de endereços (encontrado em navegações seguras HTTPS), golpe que vem sendo aplicado desde o ano passado.
A diferença desta vez, segundo a empresa, é que o método de infecção utiliza ferramentas legítimas do Windows (bcedit.exe) para instalar arquivos maliciosos na pasta de Drives, o que possibilita aos criminosos executar drivers (não assinados) em um sistema 64 bits.
Quando os drivers maliciosos estiverem registrados, o malware irá alterar o arquivo hosts do Windows (para redirecionar a vítima a uma página falsa) e também removerá o plug-in GBPlugin, ferramenta de proteção utilizada por diversos serviços de internet banking.
0 comentários:
Postar um comentário
Dê sua opinião, seu comentário é muito importante para nós.