Malware MPack já infectou 500 mil computadores

Uma ferramenta de ataques pela internet à venda no mercado negro da Rússia está nas mãos de 58 criminosos, que já infectaram mais de 500 mil usuários, de acordo com a Finjan Software, empresa de pesquisa de segurança. O kit MPack consiste em uma ferramenta poderosa de exploração de vulnerabilidades, que lança ataques nos navegadores de internet.

Ken Dunham, engenheiro-sênior da VeriSign-iDefense afirma que a ferramenta permite explorar múltiplas vulnerabilidades, incluindo o bug ANI do Windows e uma falha do QuickTime. A Finjan Software, explica que o malware usado pelo MPack procura informações bancárias do usuário, como nome, senha, número de cartão de crédito e de seguridade social.

Segundo a empresa, a ferramenta é muito eficaz, com um nível de infecção de 16% das 3,1 milhões de tentativas. Os pesquisadores da Finjan dizem que o crimeware é capaz de roubar informações de contas de muitos bancos em todo o mundo, sem deixar rastro. Segundo eles, os dados roubados são  enviados a criminosos por um canal de comunicação seguro (SSL) para evitar a detecção. Os usuários cujas máquinas foram infectadas por este crimeware não notam nenhuma mudança em sua experiência de uso do PC e do navegador de internet.

Além disso, o malware baixado pelo MPack ainda não é detectado pela maioria dos softwares de segurança, segundo a Finjan.

Esta forma de ataque é mais perigosa que os phishing, que se baseiam em sites fraudulentos, diz Yuval Ben-Itzhak, CTO da Finjan. Isso porque o ataque acontece na máquina do usuário e é criptografado, o que o torna mais difícil de ser detectado. Depois que o cliente preenche o formulário de login no site do banco e clica em ?ok?, o crimeware, que roda na máquina infectada, intercepta a comunicação e envia os dados para o servidor dos criminosos, em vez de mandá-lo ao servidor do banco.

O usuário pensa que ainda está no site do banco, mas está na verdade enviando dados ao servidor dos criminosos em uma comunicação criptografada. Segundo Ben-Itzhak, o malware cria uma cópia da página do banco em tempo real. E para cada instituição financeira, o crimeware envia um conjunto de formulários customizados, destinados a colher as informações específicas necessárias para conectar em cada serviço. O crimeware é disseminado por sites legítimos que estão comprometidos, contendo códigos maliciosos embutidos.

A VeriSign-iDefense diz que os ataques do MPack datam de outubro de 2006.

Sharon Gaudin, InformationWeek EUA