PACs maliciosos: uma nova técnica para o roubo de Bitcoins

31 mai
Comunicados de Imprensa

Seguindo a tendência de diversificação dos golpes online, os cibercriminosos brasileiros estão a investir em ataques que têm por alvo as Bitcoins (moedas virtuais). Numa recente descoberta, a Kaspersky Lab identificou novos golpes utilizando PACs (Proxy Auto-Config) maliciosos e domínios de phishing, prática característica dos trojans brasileiros.

O uso de PACs entre cibercriminosos brasileiros é conhecido desde 2007 e é utilizado para direcionar o utilizador para páginas falsas de bancos e assim roubar as suas credenciais bancárias (veja descrição desse golpe aqui). No novo golpe, a técnica é usada para direcionar os acessos feitos ao mtgox.com (site de câmbio de bitcoin muito popular) para roubar as credenciais de login e as bitcoins da vítima.

A Bitcoin é uma moeda virtual com validade legal e serve para comprar bens e serviços na Internet. Ao não pertencer a qualquer Estado ou país e porque pode ser enviada para qualquer parte do mundo, o sucesso da divisa tem sido notável. Mas esta popularidade fez com que os cibercriminosos tenham já começado a utilizar diversas técnicas para conseguir roubar este tipo de moeda, sendo uma delas os PACs maliciosos usados em ataques na Internet e domínios phishing.

Nesta última descoberta da Kaspersky Lab de um ataque PAC dirigido a utilizadores brasileiros, os cibercriminosos definiram como alvo diversos sites, inserindo um iframe malicioso em algumas páginas infectadas depois de registar o domínio java7update.com.
Este iframe carrega um applet Java malicioso criado para mudar a configuração do proxy nos browsers IE e Firefox. A URL usada no ataque aponta para um ficheiro chamado update.pac:

A Kaspersky Lab recomenda o uso de duplo factor de autenticação em todo o tipo de páginas em que seja necessário introduzir dados pessoais para evitar este tipo de ataques - ainda que nem tudo dependa unicamente do utilizador, mas também do site - e comprovar o certificado digital do site (se estiver disponível) ou inclusive a informação do IP.

Se necessitar de mais informação, pode aceder à nossa sala de imprensa online, o Kaspersky Lab Newsroom Portugal (http://newsroom.kaspersky.eu/pt/), disponível para todos os jornalistas. A sala de imprensa está desenhada explicitamente para facilitar aos jornalistas a localização de informação de produto e corporativa, notícias e dados, artigos, imagens, vídeos e ficheiros de áudio.