次の方法で共有

Rootkits Atacando Bancos

  • [アーティクル]

Em um raro caso onde a instituição atacada vem a público, o banco sueco Nordea reportou que os seus clientes foram atacados por trojans enviados por e-mail aos seus clientes, causando prejuízo estimado em oito milhões de krona - oitocentos mil dólares se eu me lembro corretamente do câmbio. A soma não me chama muita atenção - a manchete chama de o "maior ataque online já feito" mas isso é bem modesto para os nossos padrões - mas a forma como ele foi feito sim.

Os atacantes, supostamente membros da máfia russa, usaram para infectar os clientes do banco o trojan/rootkit Haxdoor.KI. O Haxdoor instala um driver em modo kernel (xdpptp.sys), que é chamado mesmo se o sistema for iniciado em safe modei,  que esconde o backdoor executado em modo usuário (xopptp.dll). Este backdoor realmente toma conta da máquina infectada:

¦ Captura senhas de usuario e informação pessoal manipulada pelos mais diversos programas - MSN Messenger, Opera, Outlook, IE, Firefox, ICQ e outros -  bem como qualquer senha enviada via POP3 ou IMAP. As senhas sao enviadas para uma página no domínio skynet.info, usando um POST HTTP.

¦ Escuta a porta TCP 16661 e executa comandos remotos.  A funcionalidade implementada pelo backdoor é bem extensa, e vai desde fazer o upload de um arquivo para o hacker até iniciar um proxy HTTP na porta TCP 8008. Permite também comandar o rootkit para esconder arquivos adicionais, e abrir e fechar a porta do drive de CD ;)

¦ Abre um shell remoto na porta TCP 16016.

¦ Bloqueia sites de antivirus, desabilita servicos de proteçao da máquina, etc. etc.

A notícia afirma que o banco somente descobriu o ataque 15 meses depois deles terem sido iniciados, quando os atacantes perderam a vergonha e começaram a fazer grandes transações usando as informações roubadas. Antes disso os atacantes faziam uma série de pequenas transações, e provavelmente poderiam continuar fazendo até hoje sem serem descobertos. Quantos ataques deste tipo estão acontecendo neste momento sem terem sido descobertos? O que vai acontecer quando nossos atacantes começarem a usar técnicas parecidas?

(Ou já não estão usando? Existe disponível um kit de criação de trojans que usa o Haxdoor, e qualquer dos nossos script-kiddies pode facilmente criar algo semelhante).

Este é o tipo de ameaça por trás da exigência de assinatura digital para código no kernel, para o PatchGuard e outras medidas de proteção no Windows Vista. As vezes nós nos esquecemos contra o quê estamos lidando.