A Trend Micro, líder mundial em segurança na era da nuvem, informa que localizou, no Brasil, um malware desenvolvido em linguagem Java que faz download do malware BANKER a partir de um projeto recém-criado denominado “flashplayerwindows”, que – naturalmente – não tem nenhuma relação com a Adobe.
O arquivo – detectado como <http://about-threats.trendmicro.com/us/malware/JAVA_DLOAD.AFJ> JAVA_DLOAD.AFJ é um arquivo compilado que faz o dowload e executa o “AdobeFlashPlayer.exe”, que foi verificado ser malicioso (e detectado como <http://about-threats.trendmicro.com/us/malware/TROJ_BANLOAD.JFK> TROJ_BANLOAD.JFK). Uma vez executado, o trojan conecta com o Google Code (que é um site de código aberto oficial do Google destinado a
desenvolvedores para que hospedem o código fonte do seu programa e arquivos relacionados, principalmente em formato de texto) para efetuar o download de outros arquivos. As pessoas por trás dessa ameaça devem ter realizado o
upload desses arquivos na página do Google Code, os quais possuem – claramente – variáveis do BANKER.
Esses malwares são conhecidos por roubar informações bancárias e de email. Tipicamente, eles executam sua rotina de roubo de dados ao fazer uso de sites de phishing que se parecem com sites bancários, para atrair os usuários e divulgar suas informações. Uma vez tendo acessado esses dados, eles podem usá-los para iniciar transações não autorizadas como transferências de valores.
Anteriormente, o BANKER tinha sido encontrado hospedado em sites do Governo Brasileiro, o que afetou usuários do Brasil, EUA e Angola.
Além do perigo do malware BANKER, o uso de um site conhecido, como o Google Code, é um bom disfarce para os cibercriminosos. O malware sendo hospedado em um site oficial do Google significa que ao baixar o malware, ele vai ser
criptografado com certificados SSL válidos, que podem burlar as tecnologias de segurança tradicionais. Como o Google é um domínio legítimo e respeitado, serviços de reputação web tradicionais podem acabar não impedindo o download.
Se essa ameaça parece familiar, é porque o abuso de sites de projetos open-source já foi cometido antes. Em junho passado, a Trend Micro publicou em seu blog as variáveis GAMARUE sendo hospedados no SourceForge que – como
o Google Code – é popular entre desenvolvedores e usuários.
Este incidente mostra que, como a Trend Micro já havia previsto para 2013, legítimos provedores de nuvem, como Google Code, são suscetíveis de serem atacados este ano. Com isso, podemos esperar que casos semelhantes irão
aparecer (e aumentar) nos próximos dias. A Trend Micro protege os usuários por meio da detecção e eliminação dessas variáveis BANKER.
A Trend Micro informa, ainda, que os arquivos não estão mais disponíveis no Google Code.
Sobre a Trend Micro
Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de
ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo.