A Fábrica de Dinheiro: resumo executivo

Kaspersky Lab, Kaspersky Lab, um dos principais criadores de soluções para a gestão de ameaças na Internet, anuncia a publicação do seu mais recente artigo, A Fábrica de Dinheiro. O artigo conduz os leitores através do processo de criar uma botnet, começando com o que parece ser um inofensivo email de spam que de facto leva à identificação de um esquema sofisticado, usado para criar e dirigir botnets.

O artigo é da autoria de Sergei Golovanov, Analista Malware Sénior, Igor Sumenkov, Chefe do Grupo de Infrastrutura para Filtragem de Conteúdos da Kaspersky Lab e Maria Garnayeva, Analista Malware.

As botnets são redes de computadores infectados com programas maliciosos por bots. Estas botnets são controladas remotamente por ciber-criminosos e dotam-nos com a capacidade de lançar ataques DoS em massa, correio spam em massa e executar outras actividades maliciosas. O proprietário legítimo de um computador desprotegido muitas vezes não sabe que a sua máquina se tornou a parte de uma botnet, já que os bots normalmente correm despercebidos em pano de fundo.

O objetivo destes ciber-criminosos é criar e dirigir grandes botnets que gerem grandes rendimentos. Por isso esforçam-se por encontrar as tácticas perfeitas para usarem e controlarem bots para assegurar uma infecção rápida e alargada, e lucros máximos. As suas técnicas sofisticadas são reveladas neste artigo.

A pesquisa do processo de criação botnet começou quando os peritos de filtragem de conteúdos nA Kaspersky Lab começaram a receber o que parecia um email spam ordinário. O email continha hiperligações para numerosos sites legítimos. Os links levam a uma variedade de sítios mas, no fim, seguiam o mesmo caminho para ficheiros em servidores.

Uma análise detalhada revelou que estas páginas Web redirecionaram usuários para os sites que foram anunciados nos emails spam. Esta técnica – a ausência de qualquer link directo para sites de spammers – é frequentemente usada para dar volta a tecnologias de filtração que verificam conexões contra listas negras de endereços de Internet associados com spam.

Os analistas da Kaspersky decidiram investigar como é que tão grande número de sítes legítimos pode ser atacado. A sua pesquisa levou à descoberta de que certas páginas em sites legítimos comprometidos redireccionavam os utilizadores não só para sites de spammer, mas também para recursos de hacker. Estes recursos continham exploits que tiram proveito da vulnerabilidade em várias aplicações comummente usadas e instalam o malicioso bot Backdoor.Win32.Bredolab.

O artigo também descreve algumas características de Backdoor.Win32.Bredolab, tal como a sua capacidade de evadir detecção quando se fazem tentativas de o executar em sandbox, e como ele pode fornecer capacidades de administração remotas aos ciber-criminosos. Quando uma ordem apropriada é recebida do centro de controlo, o bot carrega um Trojan que rouba as senhas de clientes FTP usadas para gerir o conteúdo de websites.

Os analistas monitorizaram o bot. Depois de algum tempo, Backdoor.Win32.Bredolab continuou a fazer o download de programas maliciosos, inclusive a utilitários para enviar emails em massa, o worm de rede Koobface, e um programa antivírus rogue. A questão de como foram os sites web comprometidos foi resolvida: os utilizadores foram redireccionados a sítios spammer como resultado do conteúdo dos sites ter sido modificado. Isto foi possível através do uso de palavras-passe de utilização roubadas pelo Trojan instalado pelo bot. Os computadores usados para pesquisar sites comprometidos foram infectados pelo bot, e as máquinas infectadas juntadas para formar uma botnet que efectuou o download de programas maliciosos e actuou segundo outras ordens do centro de controlo.

O caso de Backdoor.Win32.Bredolab ilustra os tipos de tecnologias e métodos usados por ciber-criminosos para criar botnets, enviar emails em massa, e executar outras actividades maliciosas.

A versão completa do artigo (em inglês) encontra-se em viruslist.com.

O material pode ser reproduzido desde que o autor, o nome da empresa e a fonte original sejam citados. A reprodução deste material de forma reescrita necessita o consentimento expresso do departamento de RP Kaspersky Lab.