A Kaspersky Lab apresentou na última edição do Virus Bulletin, evento internacional que reúne empresas e analistas de companhias antivirus de todo o mundo, uma pesquisa inédita detalhando como uma técnica de ataque aprimorada no Brasil e exportada para outros países tem sido usada largamente para roubar contas bancárias e credenciais de acesso de milhões de usuários.
O recurso chamado PAC (Proxy Auto-Config) é uma funcionalidade legítima que existe em todos os navegadores modernos, ela tem sido abusada em ataques que fazem com que o acesso a determinadas páginas de internet sejam direcionadas para um servidor de proxy sob controle de um cibercriminoso.
O proxy malicioso pode ser inserido nas configurações do navegador usando uma URL apontando para um arquivo online ou para um pequeno arquivo, geralmente menor de 1 kb, salvo no computador da vítima.
De acordo com Fabio Assolini, analista senior de malware da Kaspersky no Brasil esse recurso tem sido usado por cibercriminosos brasileiros, que desde 2009 tem aprimorado esses ataques visando redirecionar vítimas para sites falsos de Bancos, empresas de cartão de crédito, serviços de webmail, etc.
Arquivo PAC malicioso configurado no Internet Explorer e no Firefox: técnica de ataque massivamente usada no Brasil
“Diversos trojans brasileiros tem usado esse recurso: em média de cada 10 trojans brasileiros, 6 deles possuem essa função de alterar o proxy do navegador,” afirma Assolini. “É uma mudança pequena, silenciosa, não percebida pelo usuário, porém efetiva para direcionar usuários para páginas falsas. O ataque pode afetar todos os navegadores: Chrome, Firefox e Internet Explorer.”
Página falsa da Caixa aberta em um navegador comprometido com um PAC malicioso
Tais ataques aumentam sua potencialidade quando acontecem pela internet: páginas populares infectadas com applets Java maliciosos geralmente possuem funções de alterar o proxy no computador das vítimas. Os PACs maliciosos podem afetar usuários de diversos serviços on-line, direcionando-os para páginas falsas de:
· Bancos
· Cartões de crédito
· Serviços de webmail (Gmail, Hotmail, Outlook, entre outros)
· Serviços de pagamento on-line (Paypal, PagSeguro)
· Serviços de informação financeira (Serasa Experia, Intouch, entre outros)
· Companhias aéreas (visando roubar milhas aéreas
· Sites de e-commerce (Americanas, Submarino, entre outros)
· Orgãos do governo: sites como o Infoseg e Consultas Integradas também são alvos dos direcionamentos maliciosos.
O objetivo dos cibercriminosos é sempre o mesmo: após o redirecionamento para o site falso, as credenciais das vítimas serão roubadas.
Em ataques recentes, a Kaspersky ainda observou o uso de PACs maliciosos para outros fins: bloquear o acesso aos sites das companhias antivirus e seus servidores de atualização, direcionar para sites falsos de venda e compra de Bitcoins<http://www.securelist.com/en/blog/208195033/Malicious_PACs_and_Bitcoins> e bloquear o acesso a sites que oferecem ajuda aos usuários para desinfectar seu computador, como a LinhaDefensiva.org.
A pesquisa mostra ainda como a maioria das suites de segurança não possuem proteção contra esses ataques, que apesar de serem tipicamente brasileiros estão sendo “exportados” para outros países: cibercriminosos brasileiros tem “vendido” tal técnica de ataque para outros criminosos do Leste Europeu.
Mais detalhes sobre a pequisa e como a tecnologia “Safe Money”, presente nos produtos da Kaspersky como no Kaspersky Internet Security Multidevice, podem proteger contra tais ataques, visite nosso blog: http://brazil.kaspersky.com/sobre-a-kaspersky/centro-de-imprensa/blog-da-kaspersky/pac.
Sobre a Kaspersky Lab
A Kaspersky Lab é o maior fornecedor de capital fechado do mundo de soluções de Proteção de Endpoint. A empresa está classificada entre as quatro maiores do mundo fornecedoras de soluções de segurança para usuários de endpoint*. Ao longo de sua história de mais de 16 anos a Kaspersky Lab manteve-se como uma companhia inovadora em segurança de TI e fornecedora de soluções de segurança digital eficazes para grandes empresas, PMEs e consumidores finais. A Kaspersky Lab, tem sua holding registrada no Reino Unido e atualmente opera em cerca de 200 países e territórios em todo o mundo, fornecendo proteção para mais de 300 milhões de usuários. Saiba mais em www.kaspersky.com<http://www.kaspersky.com>.
* A empresa foi classificada em quarto lugar na classificação IDC Worldwide Endpoint Security Revenue by Vendedor, 2012. A avaliação foi publicada no relatório IDC “Worldwide Endpoint Security 2013-2017 Forecast and 2012 Vendedor Shares (IDC n º 242618, agosto de 2013). O relatório classificou os fornecedores de software de acordo com os ganhos provenientes da venda de soluções de segurança de terminais em 2012.
Informações de contato Kaspersky Lab