quarta-feira, 12 de outubro de 2011

Cuidado: o trojan Zeus ganhou funcionalidades peer-to-peer

O malware financeiro Zeus foi atualizado funcionalidades (peer-to-peer), que o tornam muito mais resistente a flexível na forma como ocorrem suas operações de fraude. A nova versão do trojan foi descoberto e analisado pelo suíço especialista em segurança, Roman Hussy, criador do Zeus abuse.ch e do serviço de rastreamento para o SpyEye, chamado SpyEye Tracker.

Há um ano, pesquisadores de segurança da Trend Micro identificaram um malware do tipo “file infector” chamado LICAT to Zeus, que serve como uma plataforma de entrega para o cavalo de Tróia e é projetado para prolongar a sua infecções.

O LICAT usa um algoritmo especial para gerar nomes de domínios aleatórios de uma maneira similar ao worm Conficker. Seus criadores sabem de antemão que domínios o malware irá verificar em uma determinada data e podem registrá-los, se precisarem, para distribuir uma nova versão.

"Algumas semanas atrás notei que novos nomes de domínio foram registrados pelos criminosos, através do novo murofet/LICAT C&C. Fiquei um pouco confuso e decidi analisar uma amostra recente do Zeus, escreveu Hussy em seu blog, na segunda-feira, 10/10. "Percebium tráfego UDP estranho e meu primeiro palpite foi pensar 'este não é ZeuS'. Mas depois de analisar a infecção cheguei à conclusão de que é realmente uma variante do ZeuS", observou.

Uma vez instalado em um computador, a variante Zeus consulta um conjunto de endereços IP que correspondem a outros sistemas infectados. O cavalo de Tróia faz o download de um conjunto atualizado de IPs e se esses computadores também estiverem executando uma versão mais recente, ele se atualiza.

Hussy acredita que esta nova versão esteja sendo usada por uma quadrilha fraudadores ou um número muito pequeno de grupos de cibercriminosos. Felizmente, a variante ainda depende de um único domínio para receber comandos e enviar dados roubados, e isso permite que os pesquisadores sequestrem a botnet temporariamente, pelo menos até que seja atualizada para usar outro domínio através do sistema Peer-to-Peer.

Usando este método, que é conhecido como sinkholing, Hussy conseguiu contar 100 mil endereços IP únicos em 24 horas. Isto não reflete o tamanho exato da botnet, porque os computadores infectados em uma rede local podem usar o mesmo IP na Internet, enquanto outros podem obter novos endereços atribuídos a eles pelos seus provedores de serviços de Internet em cada sessão.

O esforço, no entanto, permitiu que o pesquisador suíço determinasse que o maior número de computadores infectados com esta variante do Zeus está na Índia, Itália e nos EUA.

"Nós todos sabemos que a luta entre criminosos e pesquisadores de segurança é um jogo de gato e rato. Tenho certeza que essa não será a última alteração feita no ZeuS e vamos continuar a ver os esforços dos criminosos para fazer mais malwares", conclui Hussy.

De acordo com um relatório recente da fornecedora de segurança Trusteer, o Zeus e o SpyEye são as maiores ameaças enfrentadas por instituições financeiras.

Fonte: IDG Now!

Nenhum comentário: