(http://idgnow.uol.com.br/seguranca/2011/01/24/atualizado-malware-que-rouba-senhas-bancarias-fica-ainda-pior)
Por IDG News Service/Londres
Publicada em 24 de janeiro de 2011 às 16h18
Pesquisadores descobrem variação do Carberp que usa
chave criptográfica randômica, o que dificulta sua detecção por
sistemas de segurança.
Um certo tipo de malware bancário que tem atraído a atenção de
pesquisadores começa a mostrar recursos mais sofisticados para se manter
despercebido nos PCs das vítimas, alerta uma empresa de segurança.
Seu nome é Carberp e seu alvo, computadores pessoais rodando Windows. Ele foi descoberto em outubro simultaneamente por várias empresas de segurança, e se destacou pela habilidade de roubar vários dados pessoais, se fazer passar por arquivos legítimos do Windows e remover software antivírus.
O Carberp foi visto até como rival do Zeus, outro malware bastante conhecido.
O Carberp comunica-se com um servidor de comando e controle (C&C) usando a web, via protocolo HTTP encriptado. As versões anteriores do Carberp criptografaram este tráfego usando criptografia RC4, mas usava sempre a mesma chave de criptografia.
O uso de uma mesma chave tornava mais fácil sua detecção por sistemas de proteção a invasões, afirmou Aviv Raff, CTO e cofundador da Seculert. A empresa mantém um serviço baseado na nuvem que alerta seus clientes sobre novos malwares, exploits e outras ameaças.
Mas uma nova versão do Carberp vem desafiar ainda mais tais sistemas, ao usar uma chave randômica em suas requisições HTTP, disse Raff. Quando ela usa a mesma chave, há alguns padrões estáticos que podem ser detectados. Mesmo o Zeus, que é respeitado pela qualidade de sua engenharia, usa a mesma chave que vem embutida no malware.
"A maioria das soluções de segurança baseada en rede usa assinaturas de tráfego para detectar bots que tentam se conectar aos servidores C&C", disse Raff. "Este novo recurso é usado para escapar deste tipo de detecção e torna mais difícil e quase impossível criar tais assinaturas."
A Seculert publicou um boletim sobre o Carberp.
O Carberp também tem expandido o escopo das vítimas que tenta abordar. A última versão tem como alvo os mercados de língua russa, disse Raff. Versões anteriores miravam em bancos da Holanda e dos Estados Unidos.
Seu nome é Carberp e seu alvo, computadores pessoais rodando Windows. Ele foi descoberto em outubro simultaneamente por várias empresas de segurança, e se destacou pela habilidade de roubar vários dados pessoais, se fazer passar por arquivos legítimos do Windows e remover software antivírus.
O Carberp foi visto até como rival do Zeus, outro malware bastante conhecido.
O Carberp comunica-se com um servidor de comando e controle (C&C) usando a web, via protocolo HTTP encriptado. As versões anteriores do Carberp criptografaram este tráfego usando criptografia RC4, mas usava sempre a mesma chave de criptografia.
O uso de uma mesma chave tornava mais fácil sua detecção por sistemas de proteção a invasões, afirmou Aviv Raff, CTO e cofundador da Seculert. A empresa mantém um serviço baseado na nuvem que alerta seus clientes sobre novos malwares, exploits e outras ameaças.
Mas uma nova versão do Carberp vem desafiar ainda mais tais sistemas, ao usar uma chave randômica em suas requisições HTTP, disse Raff. Quando ela usa a mesma chave, há alguns padrões estáticos que podem ser detectados. Mesmo o Zeus, que é respeitado pela qualidade de sua engenharia, usa a mesma chave que vem embutida no malware.
"A maioria das soluções de segurança baseada en rede usa assinaturas de tráfego para detectar bots que tentam se conectar aos servidores C&C", disse Raff. "Este novo recurso é usado para escapar deste tipo de detecção e torna mais difícil e quase impossível criar tais assinaturas."
A Seculert publicou um boletim sobre o Carberp.
O Carberp também tem expandido o escopo das vítimas que tenta abordar. A última versão tem como alvo os mercados de língua russa, disse Raff. Versões anteriores miravam em bancos da Holanda e dos Estados Unidos.
(Jeremy Kirk)
Copyright 2011 Now!Digital Business Ltda. Todos os direitos reservados.
0 comentários:
Postar um comentário