Malware que rouba senhas bancárias fica ainda pior

No IDG Now!:

Pesquisadores descobrem variação do Carberp que usa chave criptográfica randômica, o que dificulta sua detecção por sistemas de segurança.

Um certo tipo de malware bancário que tem atraído a atenção de pesquisadores começa a mostrar recursos mais sofisticados para se manter despercebido nos PCs das vítimas, alerta uma empresa de segurança.

Seu nome é Carberp e seu alvo, computadores pessoais rodando Windows. Ele foi descoberto em outubro simultaneamente por várias empresas de segurança, e se destacou pela habilidade de roubar vários dados pessoais, se fazer passar por arquivos legítimos do Windows e remover software antivírus.

O Carberp foi visto até como rival do Zeus, outro malware bastante conhecido.

O Carberp comunica-se com um servidor de comando e controle (C&C) usando a web, via protocolo HTTP encriptado. As versões anteriores do Carberp criptografaram este tráfego usando criptografia RC4, mas usava sempre a mesma chave de criptografia.

O uso de uma mesma chave tornava mais fácil sua detecção por sistemas de proteção a invasões, afirmou Aviv Raff, CTO e cofundador da Seculert. A empresa mantém um serviço baseado na nuvem que alerta seus clientes sobre novos malwares, exploits e outras ameaças.

Mas uma nova versão do Carberp vem desafiar ainda mais tais sistemas, ao usar uma chave randômica em suas requisições HTTP, disse Raff. Quando ela usa a mesma chave, há alguns padrões estáticos que podem ser detectados. Mesmo o Zeus, que é respeitado pela qualidade de sua engenharia, usa a mesma chave que vem embutida no malware.

“A maioria das soluções de segurança baseada en rede usa assinaturas de tráfego para detectar bots que tentam se conectar aos servidores C&C”, disse Raff. “Este novo recurso é usado para escapar deste tipo de detecção e torna mais difícil e quase impossível criar tais assinaturas.”

A Seculert publicou um boletim sobre o Carberp.

O Carberp também tem expandido o escopo das vítimas que tenta abordar. A última versão tem como alvo os mercados de língua russa, disse Raff. Versões anteriores miravam em bancos da Holanda e dos Estados Unidos.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?