Qual o risco de um usuário leigo
buscar o download de um software legítimo e terminar instalando um malware em
seu sistema? Se um usuário brasileiro buscar nesse momento o download do
WinRAR, popular programa de compactação de arquivos, é bem provável que acabe
baixando e instalando um malware em seu computador, sem ao menos se dar conta.
Cibercriminosos brasileiros
registraram diversos dominios maliciosos, compraram links patrocinados no
Google e assim começaram a distribuir falsos instaladores do WinRAR, uma tática
bastante semelhante usada com falsos
instaladores do MSN Messenger. O falso programa, depois de instalado no
sistema, irá criar direcionamentos maliciosos para sites falsos de bancos.
O site que
aparece em primeiro lugar na busca do Google é de um link patrocinado que
aponta para um dominio distribuindo a versão maliciosa do programa. Os
seguintes dominios também foram registrados pelo mesmo criminoso:
winrarbr.com.br
facilwinrar.com.br
brasilwinrar.com.br
facilwinrar.com.br
brasilwinrar.com.br
Um dos sites maliciosos hospedado no endereço brasilwinrar.com.br:
Que possui certa semalhança com o site legítimo, localizado
no endereço winrarbrasil.com.br, que
é site do distribuidor oficial do programa no Brasil
O método de distribuição do arquivo malicioso é bastante
interessante: durante boa parte do dia o site malicioso oferece o
download do instalador legítimo do WinRAR, hospedado no domínio rarlab.com, porém em determinadas horas
da noite ele começa a distribuir o trojan citado.
A praga é bastante pequena, tem apenas 24 kb e caso seja
executada irá fazer uma pequena mudança no computador infectado, quase imperceptivel:
alterar o proxy dos navegadores Internet Explorer e Mozilla Firefox.
Essa mudança irá direcionar a
conexão do computador infectado para sites falsos de bancos e assim roubar as
credenciais bancárias.
Portanto, ao baixar programas da internet,
fique atento, escolha com bastante cautela o site de onde irá baixa-lo, evite
os sites desconhecidos, dê sempre preferência ao site oficial do distribuidor.
Na dúvida, não baixe.
A praga é dectada como Trojan.Win32.ProxyChanger.bd e no
momento todos os casos detectados estão limitados ao Brasil.
Detalhes técnicos
O falso
instalador atua como um Proxy Changer, alterando as URLs de proxy de configuração
automática (PAC):
A URL irá carregar o script de proxy no navegador, que possui baixa detecção no momento. Para tentar burlar
a detecção dos antivirus, o script possui conteúdo cifrado:
Uma vez decifrado, o script irá mostrar as URLs de phishing
para os quais irá direcionar as vítimas:
http://xxx.stressdomacaco.com/c3/
http://xxx.stressdomacaco.com/d1
http://xxx.stressdomacaco.com/GRlPNET2/
http://xxx.stressdomacaco.com/pp/
http://xxx.stressdomacaco.com/c1/
http://xxx.stressdomacaco.com/h2
http://xxx.stressdomacaco.com/c
http://xxx.stressdomacaco.com/d1
http://xxx.stressdomacaco.com/GRlPNET2/
http://xxx.stressdomacaco.com/pp/
http://xxx.stressdomacaco.com/c1/
http://xxx.stressdomacaco.com/h2
http://xxx.stressdomacaco.com/c
Geralmente PACs maliciosos possuem uma baixa
taxa de detecção, e esse não é diferente. Seu uso constante em diversos
trojans nacionais demonstram a efetividade de uma técnica simples de ataque.
Fonte: http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/parece-winrar
Fonte: http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/parece-winrar
Nenhum comentário:
Postar um comentário