Desactivado ataque de pharming dirigido a clientes de 50 bancos em 3 continentes

22 fev 2007 16:54

Este artigo tem mais de 17 anos

Ao longo dos últimos três dias esteve activo um ataque de pharming que tirou partido de uma falha já corrigida da Microsoft para tornar vulneráveis milhares de PCs e levar a cabo uma tentativa de roubo de dados aos clientes de 50 bancos.

Foi desactivado com sucesso esta quinta feira um ataque de pharming que envolveu pelo menos 50 instituições financeiras na Europa, nos Estados Unidos e na região Ásia-Pacifico. O ataque, que terá afectado uma média de mil utilizadores por dia, sobretudo nos Estados Unidos e na Austrália, tirava partido de uma falha da Microsoft detectada e corrigida já no ano passado.

Para ser afectado um utilizador teria de aceder a um site com código malicioso onde, caso o seu computador não estivesse actualizado para a falha crítica, era automaticamente descarregado para o seu PC um troiano (num ficheiro iexplorer.exe) que posteriormente descarregaria cinco ficheiros adicionais a partir de um servidor na Rússia.

A concretização desta primeira parte do ataque era imperceptível para o utilizador que apenas via no website em questão uma mensagem de erro que o aconselhava a desligar o firewall e software antivírus.

O sucesso completo do ataque ficava garantido se o utilizador posteriormente visitasse um dos 50 sites de instituições financeiras que os autores do ataque se dedicaram a replicar. Ao contrário do que acontece nos ataques phishing, no pharming o utilizador pode ser conduzido para um site falso, mesmo quando digita directamente no PC o endereço da instituição a que quer aceder.

Nesta situação os utilizadores com PCs já infectados pelo exploit eram conduzidos por momentos para um site falso onde eram recolhidos os dados de acesso ao serviço de banca online. Depois disso voltam ao site verdadeiro, já com as informações confidenciais na posse dos hackers, sem que o utilizador se apercebesse.

O bloqueio dos sites falsos e dos servidores que suportavam este ataque (localizados na Alemanha, Estónia e Reino Unido) - depois de três dias activos - foi divulgado pela empresa de segurança Websense que sublinha a sofisticação do ataque.

Os números recolhidos pela Websense, que apontam para a infecção diária de cerca de mil máquinas foram recolhidos pela empresa através do programa Bot instalado nos PCs infectados que, além de fornecer total controlo das máquinas ao atacante, permitiu o acesso da empresa a informações que este fornecia aos autores do ataque com estatísticas de progresso.