Em memória de Giordani Rodrigues
Total Security - infoguerra.com.br
Antivírus
Domingo - 04 de Novembro de 2007 às 17:31
Por: Luiz Celso

    Imprimir


A empresa de segurança Intego revelou informações a respeito de um ataque direcionado a usuários de Mac OS X.O formato do golpe utilizado segue o padrão do “falso codec”. Este tipo de tática é empregada por criminosos desde 2005. “Codecs” são pequenos programas responsáveis pela codificação/decodificação (reprodução) de vídeo e áudio utilizados por programas como o Windows Media Player, BSPlayer, Media Player Classic e outros reprodutores de mídia digital. No caso do Mac, a página diz ao usuário que o QuickTime “é incapaz de reproduzir o vídeo” e que o usuário deve então baixar e instalar o codec apropriado.

Se o website malicioso for visitado por um usuário de Windows, uma variante do trojan Zlob será instalada. O Zlob é responsável pela infecção Smitfraud, 3ª colocada no ranking de pragas digitais da Linha Defensiva de outubro. O trojan servido aos usuários de Mac, batizado de RSPlug, apenas modifica os servidores DNS — que são usados pelo sistema para descobrir o endereço de “nomes” como www.linhadefensiva.org –, o que pode permitir que os invasores direcionem as vítimas para sites falsos.

Nenhuma falha de segurança é explorada pelo ataque, apenas o usuário é enganado. O vírus, no entanto, exibe sua sofisticação no fato de que, de acordo com a Intego, existem diversas versões diferentes do arquivo malicioso. Esta tática é comumente usada para inutilizar a proteção antivírus. Para manter o servidor de DNS malicioso ativo no sistema, uma tarefa agendada (”crontab”) é criada para verificar e reconfigurar o DNS a cada minuto, impedindo que o mesmo seja alterado.

Alex Eckelberry, presidente da companhia de segurança Sunbelt Software, nota que não há grande risco de usuários serem redirecionados para páginas falsas do eBay, do Paypal ou de bancos por causa do trojan, e que o usuários de Mac precisam completar alguns passos (entre eles preencher a senha de root) para instalarem o trojan, “Até onde sabemos, [o trojan] não se espalhou muito. Mas este é o primeiro ataque real e direcionado aos usuários de Mac realizado por um grupo de malware profissional”, escreveu Eckelberry no blog da sua empresa.

Até a descoberta do RSPlug, as pragas para Mac OS X resumiram-se a “provas de conceito” que pouco faziam além de demonstrar a possibilidade da criação de pragas digitais para a plataforma. O primeiro vírus e também o primeiro worm para o sistema foi o Leap, espalhado em apenas um tópico em apenas um fórum em fevereiro de 2006. Ele foi seguido pelo worm Inqtana, o primeiro código malicioso a utilizar uma falha de segurança na plataforma.

O Windows é alvo de vários trojans que alteram os servidores de DNS usados pelo sistema, entre eles o Flush e o DNSChanger. Anti-spywares falsos da família “Wareout” também são conhecidos por fazerem esta modificação. Os servidores falsos localizam-se em diversos países; de acordo com as empresas de segurança, o RSPlug usa um servidor em Belarus.

Não há disponível nenhuma lista de sites monitorados ou alterados pelos criminosos que operam estes servidores de DNS, embora acredite-se que sites de cartão de crédito e banco sejam possíveis alvos.


Fonte: Linha Defensiva




Comentários

Deixe seu Comentário

URL Fonte: http://infoguerra.com.br/noticia/2065/visualizar/