A empresa de segurança online Kaspersky Labs diz ter encontrado o primeiro vírus que rouba informações bancárias (rootkit banker) capaz de infectar sistemas Windows 64-bit, que possui recursos de segurança aprimorados.
Segundo o analista sênior da malware da empresa, Fabio Assolini, o malware, criado por crackers brasileiros, foi achado em um aplicativo Java dentro de um "popular site" nacional – ele não revela qual.
O vírus foi desenhado de forma a contaminar o sistema de usuários rodando versões antigas do JRE (Java Runtime Environment), e também contamina versões Windows 32-bit, as mais comuns.
O ataque é do tipo "drive-by download" – a infecção é automática e o usuário nem percebe caso possua um sistema vulnerável. Alguns antivírus podem ser ludibriados pelo malware.
Assolini explica que o arquivo malicioso (add.reg) desabilita o sistema de controle de usuários do Windows (UAC - User Access Control) e adiciona certificados de segurança falsificados.
Com isso, ao digitar www.banco.com.br, o usuário é redirecionado para um site que copia o verdadeiro. Para piorar tudo, a técnica permite que esse site malicioso exiba até o cadeado de conexão segura HTTPS, parecendo ainda mais com o real. "Esse esquema de registrar um certificado falso no sistema do usuário tem sido usado por cibercriminosos brasileiros desde o ano passado", diz o expert.
O malware também altera as configurações do Windows 64-bit de forma a permitir a instalação de drivers não assinados pela Microsoft. A exigência dessa assinatura é um dos principais recursos de segurança dessa versão. Depois, o vírus faz o redirecionamento para o site falso e remove arquivos de plugins de segurança usados por bancos.
Segundo o analista sênior da malware da empresa, Fabio Assolini, o malware, criado por crackers brasileiros, foi achado em um aplicativo Java dentro de um "popular site" nacional – ele não revela qual.
O vírus foi desenhado de forma a contaminar o sistema de usuários rodando versões antigas do JRE (Java Runtime Environment), e também contamina versões Windows 32-bit, as mais comuns.
O ataque é do tipo "drive-by download" – a infecção é automática e o usuário nem percebe caso possua um sistema vulnerável. Alguns antivírus podem ser ludibriados pelo malware.
Assolini explica que o arquivo malicioso (add.reg) desabilita o sistema de controle de usuários do Windows (UAC - User Access Control) e adiciona certificados de segurança falsificados.
Com isso, ao digitar www.banco.com.br, o usuário é redirecionado para um site que copia o verdadeiro. Para piorar tudo, a técnica permite que esse site malicioso exiba até o cadeado de conexão segura HTTPS, parecendo ainda mais com o real. "Esse esquema de registrar um certificado falso no sistema do usuário tem sido usado por cibercriminosos brasileiros desde o ano passado", diz o expert.
O malware também altera as configurações do Windows 64-bit de forma a permitir a instalação de drivers não assinados pela Microsoft. A exigência dessa assinatura é um dos principais recursos de segurança dessa versão. Depois, o vírus faz o redirecionamento para o site falso e remove arquivos de plugins de segurança usados por bancos.
Nenhum comentário:
Postar um comentário