Novo Cavalo de Tróia auto-instalável através de pop-up

30 jun 2004 14:15

Este artigo tem mais de 19 anos

Um programa malicioso que se auto-instala nos computadores através de um pop-up pode ler combinações de teclas e roubar passwords quando as vítimas visitam qualquer um de 50 sites bancários internacionais, alertaram as empresas de segurança.

Um novo ataque malicioso bastante complexo, descoberto recentemente, usa uma vulnerabilidade conhecida do browser Internet da Microsoft para instalar um programa Cavalo de Tróia em máquinas infectadas. De acordo com a informação adiantada ontem por várias empresas de segurança, o Cavalo de Tróia é colocado no PC através de um pop-up malicioso que carrega um ficheiro denominado "img1big.gif" no computador, recolhendo dados críticos quando os utilizadores se ligarem à Internet para aceder a um dos 50 sites de instituições bancárias visados.

Na lista dos sites de bancos atingidos por este problema não consta nenhuma entidade bancária portuguesa, embora vários bancos ingleses, alemães, australianos e até turcos sejam indicados como vulneráveis. Recorde-se que ainda no ano passado os principais bancos portugueses com presença online mudaram o seu sistema de login abandonado a entrada de códigos através do teclado, que foi substituída pela utilização de um teclado virtual no ecrã, utilizável com o rato, que pretende evitar o roubo de passwords através de aplicações deste tipo.

O Cavalo de Tróia surge com uma extensão de ficheiro ".gif" e parece ser um gráfico num formato comprimido, bastante comum na Internet, mas na realidade, transporta dois programas: um ficheiro que recolhe usernames e passwords e um file dropper que instala o keyword logger no computador da vítima, alerta o Internet Storm Center, pela voz do seu director Marcus Sacas, em declarações à C|NET.

De acordo com o explicado por aquele responsável, o primeiro ficheiro usa uma característica da maioria dos browsers - conhecida como helper files - para interceptar dados e o segundo ficheiro tenta auto-mobilizar-se usando uma falha do Internet Explorer já conhecida.

Entre os sites visados estão grandes instituições financeiras, como o Citibank, o Barclays Bank e o Deutsche Bank. "Se o programa reconhecer que o internauta está num desses sites, faz keystroke logging" acrescenta Sacas.

Apesar de todos os sites financeiros usarem encriptação integrada no browser de modo a proteger a informação de log-in, este Cavalo de Tróia pode capturar a informação antes que a mesma seja encriptada pelo software do browser, o que não acontece entre o teclado e o computador, mas sim quando os mesmos estão "a caminho" do servidor Web.

As vulnerabilidades não corrigidas do Internet Explorer voltam mais uma vez a estar na mira de programas maliciosos, depois de ainda no final da semana passada ter surgido um novo alerta com o aparecimento de um ataque que transformava sites em pólos de infecção, entretanto solucionado (ver Notícias Relacionadas).