Fabio Assolini, pesquisador de segurança da Kaspersky Lab, publicou no blog da empresa que foi detectado o primeiro rootkit para roubar dados bancários especificamente em sistemas operacionais de 64 bits. A nova ameaça foi desenvolvida por brasileiros.
De acordo com o informe, foi encontrado um arquivo malicioso inserido em um site popular brasileiro, o qual não teve seu nome divulgado. O malware é baseado na plataforma Java e rouba informações de acesso a internet bankings após infectar a máquina.
Segundo Assolini, os ataques acontecem no estilo drive-by. Isso significa que o rootkit baixa e instala diversos malwares no momento em que um endereço infectado é acessado. Esse tipo de conteúdo malicioso é capaz de modificar configurações de inicialização do PC, bem como redirecionar o internauta para sites que utilizam o phishing como mecanismo de fraude.
O malware brasileiro pode desativar o User Account Control (UAC) do Windows, o que abre enormes brechas para que outros vírus invadam o computador. Apesar do perigo, Assolini diz que o sistema utilizado pelos cibercriminosos é interessante e explica como ele funciona:
“Todo o esquema malicioso é simples, mas interessante. O arquivo ‘add.reg’ irá desativar o UAC (User Access Control) e modificar o Registro do Windows, adicionando CAs (Autoridades Certificadoras) falsas na máquina infectada”, comentou o pesquisado da Kaspersky.
“O arquivo ‘cert_override.txt’ é um certificado digital falso assinado pela AC [Autoridade Certificadora] fraudulenta registrada no sistema. O objetivo principal desse ataque é redirecionar o usuário para um domínio de phishing. O site malicioso, então, mostra um ícone de conexão segura (https), simulando a página verdadeira do banco”, completou Assolini.
Categorias