A Linha Defensiva registrou recentemente um novo ataque de um rootkit brasileiro desenvolvido para direcionar as vítimas a sites falsos de bancos. O código malicioso está em circulação silenciosa desde meados de setembro, passando despercebido da detecção dos programas antivírus.

Um rootkit é um trojan que busca se esconder de softwares de segurança e do usuário utilizando diversas técnicas avançadas de programação. Diversos trojans utilizam essas tecnologias com o objetivo de dificultar sua remoção e o fazem com sucesso: os rootkits mais avançados são bem difíceis de serem removidos. Para que sejam instalados, basta que a vítima execute um arquivo rodando o sistema operacional com direitos administrativos, ou permita sua execução a partir de uma conta limitada.

É esperado que os criadores de vírus no Brasil evoluam, criando cada vez mais trojans bancários que instalem drivers maliciosos usando as técnicas comumente presentes em rootkits para assim manter o computador da vítima infectado pelo maior tempo possível. Nesse ataque analisado pela Linha Defensiva, o código malicioso instalado no computador da vítima se disfarçava como arquivo pertencente a um plugin bancário, alterando o conteúdo do arquivo HOSTS ao ser carregado no boot (inicialização do PC), impossibilitando a limpeza do arquivo.

Vejamos como funciona.

Made in Brazil

O uso de drivers maliciosos com técnicas de rootkit nas infecções brasileiras não é algo exatamente novo. Sabe-se de casos desde 2008, porém de uma maneira bastante peculiar: na falta de conhecimento para programar um rootkit, cibercriminosos brasileiros começaram a usar programas antirootkits em seus ataques, num clássico caso de “fogo amigo”, onde essas ferramentas legítimas eram instaladas e manipuladas para remover softwares de proteção (geralmente antivírus e plugins bancários) do computador das vítimas.

Entre os softwares usados nos ataques estavam o Gmer e Partizan, com destaque ao Avenger, que foi o mais usado e até hoje continua sendo usado por alguns trojans. Esses são softwares normalmente destinados à remoção de vírus, mas os próprios vírus os utilizam para remover softwares de segurança.

Programa antimalware Avenger foi usado por criminosos no Brasil. (Foto: Reprodução)

Depois desse experimento com ferramentas legítimas, ainda em 2008 começaram a aparecer os primeiros drivers maliciosos. O intuito do código malicioso era sempre o mesmo: remover os plugins bancários exigidos por alguns bancos.

A situação evoluiu e a partir disso os programadores de vírus nacionais começaram a usar rootkits simples em seus ataques, com funções básicas de apagar arquivos e ocultar processos. Até mesmo uma versão para sistemas 64 bits foi encontrada em um ataque.

Parece… mas não é

O rootkit analisado pelo ARIS é interessante por alguns motivos: para burlar a detecção dos programas antivírus, o driver malicioso se apresenta como um componente do GBPlugin, plugin bancário distribuído pelas GAS Tecnologia e instalado em mais de 30 milhões de computadores. O driver malicioso forjava os dados na descrição do arquivo, usando nomes parecidos aos arquivos legítimos do plugin.

Comparativo de informações do arquivo dos drivers. (Foto: Reprodução)

Quando a Linha Defensiva encontrou os arquivos do rootkit (3 drivers), a detecção dos mesmos pelos programas antivírus era nula. Nenhum programa antivírus no serviço Virus Total o detectava. Para conseguir tal feito, o driver malicioso usa uma criptografia da strings, presentes na sessão .rdata — um truque cada vez mais comum em malware brasileiro.

Detalhe da criptografia na .rdata. (Foto: Reprodução)

Dessa forma o arquivo malicioso consegue esconder as mudanças feitas no sistema infectado, dificultando a ação de sistemas automatizados de detecção usados pelos antivírus.

Uma vez carregado na memória do computador infectado, a ação do rootkit é simples: encontrar o arquivo HOSTS e adicionar nele redirecionamentos para páginas falsas de bancos:

Alterações feitas no arquivo Hosts pelo driver. (Foto: Reprodução)

Alguns programas antivírus disponíveis no mercado detectam alterações no arquivo HOSTS e promovem a limpeza do mesmo, porém, como o rootkit não era detectado, a cada reinício o driver malicioso é recarregado, o arquivo HOSTS alterado novamente, em um círculo vicioso.

Após o arquivo ser distribuído às companhias antivírus, a detecção da praga está em níveis aceitáveis (12, 3).

Proteção

Para se proteger de um ataque desses é simples: dê preferência para sistemas 64 bits, eles possuem algumas tecnologias de proteção que dificultam a infecção por rootkits. Use sempre seu PC com uma conta limitada e com o UAC (Controle de Conta de Usuário) ativado. Medidas como essas diminuem o risco do seu PC ser infectado.

Você também pode colaborar com a equipe do ARIS-LD reportando conteúdo suspeito ou malicioso, veja como aqui.

Fique seguro!

Escrito por Redação Linha Defensiva

Todos os posts Website

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Gravatar
Logo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Cancelar

Conectando a %s

Este site utiliza o Akismet para reduzir spam. Saiba como seus dados em comentários são processados.