Simpatizantes do Anonymous são enganados e baixam malware Zeus

Simpatizantes do grupo Anonymous sofrem com um ataque silencioso: de acordo com o blog da Symantec Security Response , pessoas que se diziam aliadas do grupo ativista camuflaram um  malware cavalo de troia em uma ferramenta que seria usada, supostamente, para lançar ataques do tipo distributed denial-of-service (DDoS).

Segundo uma postagem de blog da companhia, feita no fim de semana, “apoiadores do grupo foram enganados para instalar  botnet client Zeus  com o objetivo de ataques DoS. O client Zeus desempenha ataques nesse estilo, mas não para por aí. Também rouba as credenciais de bancos online de usuários, e-mail e cookies”.

A empresa disse que rastreia ataques relacionados desde 20 de janeiro, data em que o FBI tirou o Megaupload do ar. “Um invasor pegou uma guia popular da PasteBin usada por membros do Anonymous para baixar e usar a ferramenta DoS Slowloris e a modificou”. Em 15 de fevereiro, a empresa disse que 470 tuítes ainda direcionavam a postagem do Pastebin com o link malicioso.

Segundo um site devotado ao Slowloris, a ferramenta DDoS “mantém a conexão aberta o envia pedidos parciais de HTTP”. Mas a postagem do Pastebin – cuja data original é de maio de 2011 –, foi modificada para incluir um link para uma versão troia do Slowloris (Trojanized Slowloris). “Quando a ferramenta Trojanized Slowloris é baixada e executada por um apoiador do Anonymous, um botnet client Zeus (também conhecido como Zbot) é instalado. Após a instalação, o malware tenta esconder a infecção, substituindo-se com a ferramenta DoS Slowloris”, afirmou a Symantec.

O malware Zeus é projetado para roubar informações financeiras das pessoas, mas também é muito usado por invasores para disfarçadamente tornar PCs – ou zombies – dentro de nodes em um botnet. Em outras palavras, os invasores do grupo Anonymous que baixaram a versão do Slowloris podem descobrir que seus PCs estão participando de ataques DDoS sem seu conhecimento.

Isso além da adição da  implementação do Zeus ser usada para transmitir “cookies, credenciais de bancos online e de webmail” de um PC infectado para um servidor command-and-control do proprietário do botnet.

Apesar do grupo geralmente expressar seu antagonismo quando às empresas de segurança, o The Register mostrou pelo menos um canal do Twitter pró-Anonymous falando sobre o aviso do Slowloris lançado pela Symantec: “Apoiadores do Anonymous enganados nas instalações de cavalos de troia Zeus. Isso NÃO PODE acontecer. Fique atento naquilo que clica!”.