Existem esquemas de phishing a circular na Internet, com o objectivo de recolher dados entre os utilizadores de serviços bancários online.

Segundo a Trend Micro, os ataques aproveitam as dúvidas face à crise financeira instalada mundialmente, relativa aos créditos hipotecário e ao futuro das instituições bancárias.

Num comunicado enviado à imprensa, a empresa de segurança de conteúdos para a Internet refere ter descoberto um esquema de phishing dirigido ao Wachovia Bank, a 12 de Setembro último.

Este ataque descarregava um keylogger juntamente com um rootkit que ajudava a ocultar todas as actividades relacionadas com o keylogger.

Aparentemente aleatório, esta acçãofoi uma entre uma série de ataques que se iniciaram com um spam do Bank of América, a 9 de Setembro de 2008. O fabricante detectou a mesma corrente de infecção em mensagens da Merrill Lynch no final do mesmo mês.

A mensagem de spam induzia os clientes online do Wachovia Bank a instalarem manualmente o "Wachovia Security Plus Certificate" para aceder com segurança a novos serviços prestados pela Internet. Ao clicar no link, o utilizador deparava-se com um arquivo que podia executar ou guardar.

Quando aberto, o trojan instalava o executável TROJAGENT.AINZ e o arquivo de sistemas TROJROOTKIT.FX, um componente de rootkit, activando-os directamente e criava e modificava as entradas do registo para executar automaticamente os arquivos descarregados e instalados. Por último apagava as cookies das sessões do navegador.

Juntos, o troiano e o rootkit registavam as sequências do teclado. A rotina de eliminação dos cookies obrigava os utilizadores a capturar os dados novamente. Nesta sequência, o TROJAGENT.AINZ enviava a informação a um site localizado na Alemanha.

Os autores deste ataque criaram um rootkit para garantirem que o roubo de informação era completo sem que o utilizador tivesse conhecimento, isto porque os rootkits realizam a maioria das mudanças do sistema ao manipular o registo.

Pouco depois do spam de Wachovia, a Trend Micro detectou outro ataque que empregava a mesma táctica de engenharia social aproveitando-se das preocupações com a segurança. Este ataque utilizava um backdoor (BKDRAGENT.AWAF) em lugar de um keylogger, mas tinha a mesma variante do rootkit (TROJROOTKIT.FX) para ocultar o backdoor. A aplicação maliciosa conecta-se a um endereço IP na Malásia para enviar e receber informação.