O ARIS-LD (Grupo de Análise e Resposta a Incidentes de Segurança da Linha Defensiva) obteve acesso à cavalos de tróia de origem brasileira que roubam senhas de banco (”bankers”) que trazem uma novidade: o uso de um programa anti-rootkit para eliminar os plugins de segurança requeridos por alguns bancos no acesso ao internet banking.
Pragas que apresentam este comportamento já são comuns e podem ser encontradas em falsas mensagens de e-mail (fraudes), recados em sites de redes sociais e falsas páginas de cartões virtuais. Após ser baixada e executada, a praga irá instalar no sistema uma uma versão reduzida do anti-rootkit UnHackMe, fabricado pela companhia de segurança Greatis Software.Os plugins usados pelos bancos brasileiros tem o intuito de proteger seus usuários nas transações bancárias via rede. Uma vez instalados, são difíceis de serem removidos, mesmo quando causam problemas no sistema do usuário. Usando o UnHackMe (com os arquivos partizan.exe e partizan.rri), os trojans que tentam capturar as senhas das transações conseguem remover estes dispositivos de segurança e tornar o usuário vulnerável. O malware programa o UnHackMe para que este efetue a ação de remoção dos plugins quando o Windows for reiniciado.
Confusão entre antivirus
O fato de o UnHackMe, um software legítimo de segurança, estar sendo usado por uma praga digital para remover outros softwares de segurança tem causado certa confusão entre as empresas antivírus. Os softwares de segurança Norton Antivirus, da Symantec, e o Spyware Doctor, da PCTools, consideram os arquivos relacionados ao UnHackMe como parte da infecção, detectando-os como infectados.
Em um tópico no fórum técnico da Symantec, os desenvolvedores da Greatis Software reclamam que a detecção do arquivo partizan.exe é um falso positivo (detecção incorreta do antivírus). Na página da ferramenta no site da Greatis há um esclarecimento sobre o assunto para que usuários não pensem que o Partizan está infectado.
Nenhum comentário:
Postar um comentário