A empresa de segurança Intego revelou informações a respeito de um ataque direcionado a usuários de Mac OS X na terça-feira (30/10). Criminosos publicaram posts contendo links para supostos sites pornográficos em diversos fóruns freqüentados por usuários do sistema da Apple, mas os websites referenciados pelos links exigem que os visitantes instalem um “codec” para ver o conteúdo adulto. O “codec” é, na verdade, um cavalo de tróia.

O formato do golpe utilizado segue o padrão do “falso codec”. Este tipo de tática é empregada por criminosos desde 2005. “Codecs” são pequenos programas responsáveis pela codificação/decodificação (reprodução) de vídeo e áudio utilizados por programas como o Windows Media Player, BSPlayer, Media Player Classic e outros reprodutores de mídia digital. No caso do Mac, a página diz ao usuário que o QuickTime “é incapaz de reproduzir o vídeo” e que o usuário deve então baixar e instalar o codec apropriado.

Se o website malicioso for visitado por um usuário de Windows, uma variante do trojan Zlob será instalada. O Zlob é responsável pela infecção Smitfraud, 3ª colocada no ranking de pragas digitais da Linha Defensiva de outubro. O trojan servido aos usuários de Mac, batizado de RSPlug, apenas modifica os servidores DNS — que são usados pelo sistema para descobrir o endereço de “nomes” como http://www.linhadefensiva.org –, o que pode permitir que os invasores direcionem as vítimas para sites falsos.

Nenhuma falha de segurança é explorada pelo ataque, apenas o usuário é enganado. O vírus, no entanto, exibe sua sofisticação no fato de que, de acordo com a Intego, existem diversas versões diferentes do arquivo malicioso. Esta tática é comumente usada para inutilizar a proteção antivírus. Para manter o servidor de DNS malicioso ativo no sistema, uma tarefa agendada (“crontab”) é criada para verificar e reconfigurar o DNS a cada minuto, impedindo que o mesmo seja alterado.

Alex Eckelberry, presidente da companhia de segurança Sunbelt Software, nota que não há grande risco de usuários serem redirecionados para páginas falsas do eBay, do Paypal ou de bancos por causa do trojan, e que o usuários de Mac precisam completar alguns passos (entre eles preencher a senha de root) para instalarem o trojan, “Até onde sabemos, [o trojan] não se espalhou muito. Mas este é o primeiro ataque real e direcionado aos usuários de Mac realizado por um grupo de malware profissional”, escreveu Eckelberry no blog da sua empresa.

Até a descoberta do RSPlug, as pragas para Mac OS X resumiram-se a “provas de conceito” que pouco faziam além de demonstrar a possibilidade da criação de pragas digitais para a plataforma. O primeiro vírus e também o primeiro worm para o sistema foi o Leap, espalhado em apenas um tópico em apenas um fórum em fevereiro de 2006. Ele foi seguido pelo worm Inqtana, o primeiro código malicioso a utilizar uma falha de segurança na plataforma.

O Windows é alvo de vários trojans que alteram os servidores de DNS usados pelo sistema, entre eles o Flush e o DNSChanger. Anti-spywares falsos da família “Wareout” também são conhecidos por fazerem esta modificação. Os servidores falsos localizam-se em diversos países; de acordo com as empresas de segurança, o RSPlug usa um servidor em Belarus.

Não há disponível nenhuma lista de sites monitorados ou alterados pelos criminosos que operam estes servidores de DNS, embora acredite-se que sites de cartão de crédito e banco sejam possíveis alvos.

[ Correção 08/11 às 17:50 ] Informações da Sunbelt Software mostram que o trojan, ao contrário do que foi informado pela Intego, não redireciona sites de bancos e cartões de crédito. Em vez disso, ele altera os resultados em sites de busca como o Google, servindo links patrocinados em vez dos originais, o que gera lucro aos criadores do código malicioso. Isto, no entanto, é apenas uma diferença do uso dos redirecionamentos, já que, teoricamente, é possível que qualquer site seja redirecionado pelos criminosos.

Links relacionados

Anúncios

Escrito por Altieres Rohr

Jornalista e tradutor. Editor dos sites Linha Defensiva e Garagem 42 e colunista de Segurança Digital no portal G1 da Rede Globo.

4 comentários

  1. Cristiane Barros 03/12/2007 às 09:05

    Bom dia!

    O que devo fazer para excluir o Trojan Zlob do meu computador?

    Fico no aguardo de sua resposta.

    Att.
    Cristiane

    Curtir

    Responder

  2. Luis Andrade 10/12/2007 às 23:29

    Cai a estratégia de marketing da Apple, que diz que “não há vírus para Mac”.
    Os usuários do Mac que quiserem se proteger, é só proteger os arquivos do Cron (agendador de tarefas disponível em todos os sistemas UNIX, incluindo o Mac OS X e o Linux) contra escrita, com um comando “chmod -w crontab”. Eu só não sei onde fica o arquivo Crontab no Mac – no Linux, ele fica no diretório /etc. Acho que no Mac fica no /Library.

    Curtir

    Responder

  3. Rodrigo Maciel 13/02/2008 às 09:10

    A culpa não pode ser atribuída ao Mac OS quando um usuário baixa um aplicativo desconhecido de um site pornográfico, digita sua senha de administrador e instala intencionalmente o programa malicioso no computador… Já no caso do Windows notamos uma grande diferença os usuários são infectados simplesmente por acessarem a página como está descrito no seguinte trecho da reportagem:

    “Se o website malicioso for visitado por um usuário de Windows, uma variante do trojan Zlob será instalada. O Zlob é responsável pela infecção Smitfraud, 3ª colocada no ranking de pragas digitais da Linha Defensiva de outubro”.

    Curtir

    Responder

  4. Rodrigo Maciel

    A instalação do Zlob no Windows ocorre de forma pouco diferente da do Mac, isto é, é necessário aceitar a instalação (embora não seja necessário digitar a senha de root; se o internauta estiver usando uma conta de usuário comum é possível que o trojan nem consiga se instalar).

    Em outros sites, no entanto, a instalação em sistemas Windows ocorre, sim, por meio de exploits. Mas existem falhas para Mac que poderiam permitir que o mesmo fosse feito na plataforma. É questão de tempo para que isso comece a valer a pena.

    Curtir

    Responder

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s