O site comprometido com o malware primeiro tenta identificar o usuário pelo endereço IP (protocolo de internet) do computador para descobrir se ele é um visitante novo ou recorrente.
Se o visitante é novo, a vítima é redirecionada a sites como www.nine2rack.in. O domínio pode parecer de um site da Índia, mas é hospedado na Ucrânia, afirmou a Websense, que tem rastreado o ataque há cerca de 10 dias.
A vítima então é conduzida a uma tentativa de download depois que o malware encontra vulnerabilidades no browser, nos softwares da Adobe ou ainda no Quicktime do PC do usuário. Se a vulnerabilidade é encontrada, o ataque baixa um programa cavalo-de-troia com um componente keylogger, que rouba os dados digitados, o qual muitos softwares antivirus ainda não conseguem identificar.
“Esses trojans têm muito baixa taxa de detecção. Muitos têm várias formas”, disse Stephan Chenette, gerente de pesquisa de segurança da Websense.
Os usuários que são detectados como recorrentes nos sites comprometidos pelo Nine Ball têm sido redirecionados à ferramenta de busca Ask.com que, segundo o Websense, não oferece riscos ao usuário e é apenas uma forma do ataque se esquivar de investigações.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário