Um certo tipo de malware bancário que tem atraído a atenção de pesquisadores começa a mostrar recursos mais sofisticados para se manter despercebido nos PCs das vítimas, alerta uma empresa de segurança.
Seu nome é Carberp e seu alvo, computadores pessoais rodando Windows. Ele foi descoberto em outubro simultaneamente por várias empresas de segurança, e se destacou pela habilidade de roubar vários dados pessoais, se fazer passar por arquivos legítimos do Windows e remover software antivírus.
O Carberp foi visto até como rival do Zeus, outro malware bastante conhecido.
O Carberp comunica-se com um servidor de comando e controle (C&C) usando a web, via protocolo HTTP encriptado. As versões anteriores do Carberp criptografaram este tráfego usando criptografia RC4, mas usava sempre a mesma chave de criptografia.
O uso de uma mesma chave tornava mais fácil sua detecção por sistemas de proteção a invasões, afirmou Aviv Raff, CTO e cofundador da Seculert. A empresa mantém um serviço baseado na nuvem que alerta seus clientes sobre novos malwares, exploits e outras ameaças.
Mas uma nova versão do Carberp vem desafiar ainda mais tais sistemas, ao usar uma chave randômica em suas requisições HTTP, disse Raff. Quando ela usa a mesma chave, há alguns padrões estáticos que podem ser detectados. Mesmo o Zeus, que é respeitado pela qualidade de sua engenharia, usa a mesma chave que vem embutida no malware.
"A maioria das soluções de segurança baseada en rede usa assinaturas de tráfego para detectar bots que tentam se conectar aos servidores C&C", disse Raff. "Este novo recurso é usado para escapar deste tipo de detecção e torna mais difícil e quase impossível criar tais assinaturas."
A Seculert publicou um boletim sobre o Carberp.
O Carberp também tem expandido o escopo das vítimas que tenta abordar. A última versão tem como alvo os mercados de língua russa, disse Raff. Versões anteriores miravam em bancos da Holanda e dos Estados Unidos.
Fonte: IDG Now!
Nenhum comentário:
Postar um comentário