Por Fabio Assolini

Criminosos virtuais brasileiros começaram a utilizar brechas de segurança presentes no Internet Explorer para aumentar o número de vítimas dos cavalos de tróia Banker. Estes cavalos de tróia roubam senhas de acesso usadas em Internet Banking e dados e números de cartões de crédito em lojas online. A técnica de infecção usando falhas de segurança é uma evolução se comparada com os métodos utilizados anteriormente, pois dificulta a identificação dos links maliciosos.

Muitas matérias sobre segurança na rede sugerem que o internauta verifique o endereço do link em mensagens de e-mail e veja se ele aponta para um arquivo terminado em .scr, .pif ou .exe. Arquivos com essas extensões caracterizam arquivos executáveis que podem conter vírus, portanto devem ser evitadas. Porém, observar o link somente o protegerá contra os ataques mais simples que, até recentemente, eram a regra em golpes de origem brasileira.

Alguns golpes já usam redirecionamentos para confundir o usuário, como o recente e-mail fraudulento que prometeu vídeos do enforcamento de Saddam. O link na mensagem aponta para um arquivo .avi (de vídeo), mas, ao clicar, o usuário é redirecionado para um arquivo .scr. O usuário ainda vê uma janela de download e tem a chance de cancelar a operação de download da praga digital.

Os golpes mais avançados da Internet brasileira que circulam atualmente, no entanto, tiram proveito de uma das diversas falhas presentes no Microsoft Internet Explorer. Qualquer link, independente de sua extensão, pode conter um código que tira proveito de uma brecha no navegador e instala um vírus no sistema. Não é necessário que o usuário autorize a execução ou o download de um programa — a infecção ocorre automaticamente.

Caso o usuário visite um site malicioso com o Internet Explorer sem as atualizações de segurança, basta acessar o site para ser infectado, nenhum download ou confirmação é necessária. Apesar de existirem falhas que afetam também os navegadores Firefox e Opera, a Linha Defensiva ainda não observou nenhum site malicioso que se utiliza dela para instalar pragas brasileiras.

O código malicioso usado pelos criminosos brasileiros é o JS.ADODB.Stream. Ele explora uma falha presente no Microsoft Data Access Components, que é instalado por padrão no Windows XP. A vulnerabilidade possibilita que um site possa executar um arquivo automaticamente, sem que o usuário tenha de baixá-lo manualmente. Basta acessar uma página maliciosa para que a falha seja explorada e Bankers sejam baixados e instalados no PC da vítima, sem que esta perceba.

A brecha utilizada é de fácil exploração e talvez por isso tenha se popularizado entre os criminosos. Existem falhas mais novas que também possibilitam a instalação de vírus, mas são mais difíceis de serem exploradas.

A Linha Defensiva constatou que os criminosos brasileiros não desenvolveram o código que explora a falha, mas copiaram um código pronto facilmente obtido na Internet. Como conseqüência, alguns antivírus conseguem detectar a tentativa de exploração da falha, porém algumas páginas maliciosas empregaram técnicas simples para esconder o código para escapar da detecção dos softwares de segurança.

Proteja-se

Para se proteger, basta baixar uma atualização diretamente do site da Microsoft, conforme seu sistema operacional:

http://www.microsoft.com/brasil/technet/security/bulletin/ms06-014.mspx

A Linha Defensiva sugere que os internautas atualizem seu sistema operacional sempre que novas atualizações forem disponibilizadas. A Microsoft lança atualizações sempre na segunda terça-feira de cada mês. As atualizações de janeiro de 2007 já foram publicadas e uma delas afeta o Internet Explorer e possibilita que ataques semelhantes ao descrito nesta matéria sejam efetuados.

Quando percebem que antigas técnicas de infecção não mais retornam os resultados esperados, criminosos virtuais procuram novas formas para enganar os usuários. O uso de falhas de segurança consegue aumentar o número de vítimas.

No Brasil, onde muitas pessoas usam software pirata, usuários não atualizam o sistema operacional devido aos programas antipirataria da Microsoft. Apesar de facilmente burlados por usuários mais experientes, alguns usuários mais leigos simplesmente não atualizam o sistema para não ter problemas com avisos sobre software falsificado.

Anúncios

Escrito por Redação Linha Defensiva