Hoje eu me deparei com um caso muito interessante e que ilustra a dificuldade de se identificar a autoria e investigar crimes transnacionais como os que ocorrem diariamente na internet e afetam milhões de clientes de instituições financeiras em todo o mundo.
Nada de novo, mas considerei relevante por tratar-se de um site governamental chinês que está hospedando um arquivo .pac (mais sobre este tipo de phishing, aqui - LinhaDefensiva) - que objetiva substituir as configurações de proxy do navegador do usuário (e configuração do registro da máquina infectada *), o redirecionando para um proxy malicioso que redireciona os clientes das instituições financeiras para sites falsos.
(*) - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
O site do governo CHINÊS (1o país) em questão foi desfigurado (defacement mirror) pela primeira vez em 31/05/2010 atrás por um hacker da TURQUIA (2o país) chamado HEXB00T3R. Em 01/06/2011 o site foi mais uma vez desfigurado (redefacement mirror), desta vez por um grupo chamado LatinHackTeam.
A partir de hoje o site passou a hospedar um arquivo .pac - no caso em pauta, a URL (ainda está no ar - vejamos por quanto tempo..). Trata-se de um site de uma instituição de ensino chinesa no endereço hxxp://czj.mas.gov.cn/guestbook/system/cache/1.pac (apenas acesse caso saiba o que está fazendo).
O proxy malicioso está sendo hospedado pelo serviço "PublicCloud" da Locaweb (BRASIL - 3o país), no endereço 186.202.66.31 (reverso = cpro5263.publiccloud.com.br).
São 78 URLs interceptadas, de sites das seguintes instituições:
- American Express
- Banco do Brasil
- Banespa
- Bradesco
- Caixa Econômica
- Citibank
- Credicard
- Hotmail
- HSBC
- Itau
- PagSeguro
- PayPal
- Real
- Santander
- Serasa
- Sicredi
- Tam
Na ocasião, o trojan enviava informações sobre a máquina recém infectada para um servidor na RÚSSIA - 4o país (213.142.139.183). Vejam bem, já se passou um mês.. Como o trojan continua ativo na máquina de muitos usuários, basta baixar novos endereços de proxies para garantir o funcionamento do esquema de fraude.
Em breve, um update com sugestões de defesa contra este tipo de ataque - para 1) usuários finais, 2) administradores de redes e 3) backbones.
Sandro, nós nos conhecemos no ICCyber de 2009 em Natal através do Antão, nosso fornecedor. Dificilmente vai se lembrar, mas o Antão tem meu contato. Geralmente é um pouco mais demorado pra tirar esses malwares da Ásia do ar, mas nada impossível. O dia que quiser conhecer um pouco mais dessas bizarrices peça para o Antão marcar uma visita ao nosso prédio que eu mostro nosso trabalho.
ReplyDelete[ ]'s
JoShi
PARABÉNS pelo post - bastante interesante. Como você disse isto mostra a dificuldade em se INVESTIGAR este tipo de fraude, pois apenas retirar do ar os binários ou outros arquivos que fazem parte do esquema (chamados de "artefatos") não resolve muito pois existem infindáveis sites vulneráveis pelo mundo que são utilizados para este fim, não acha?
ReplyDelete