Cibercriminosos exploram venda de “kit de serviço”

Incognito

Cibercriminosos estão explorando a venda de kits completos com serviços de hospedagem para a exploração de vulnerabilidades, sendo que seus “clientes” pagariam por um período de tempo a fim de utilizarem suas habilidades na infecção de computadores.
Os kits oferecem vários tipos de “exploits”, ou seqüências de códigos que podem se aproveitar de vulnerabilidades de software, permitindo assim a contaminação por malware.
Pesquisadores da empresa “Seculert” descobriram que pelo menos um par destes kits, denominados de “Incognito 2.0” e “Bomba”, ofereceriam serviços de hospedagem (web hosting), bem como uma interface de gerenciamento baseada na “web”.
O novo modelo de negócios torna mais fácil as atividades para criminosos virtuais, que podem ter problemas para garantir hospedagem nos chamados “Bulletproof Hosting” ou provedores que estejam dispostos a hospedar servidores malware, segundo informou Aviv Raff, CTO e co-fundador da “Seculert”.
“Bulletproof Hosting” é um serviço oferecido por algumas hospedagens de domínios ou web sites que permite que seus clientes tenham uma certa tolerância nos tipos de materiais que podem carregar e distribuir.
A empresa “Seculert” é especializada em serviços baseado em nuvem e alerta seus clientes para novos malwares, “exploits” e outras ameaças virtuais.
Todo o pacote vendido é destinado para criminosos que querem “hackear” um grande número de computadores executando Microsoft Windows. Uma vez que os computadores são invadidos, as máquinas podem ser usadas para roubar dados pessoais, enviar spams, realizar ataques de negação de serviço ou outros fins.
Este tipo de ação criminosa é também mais econômica, pois os clientes criminosos pagam apenas pelo tempo que suas atividades estejam “online”, ou seja, se por alguma razão os provedores desligarem os servidores desonestos, eles não têm de pagar, informou Aviv Raff.
Ele estimou que o uso de malware e a exploração dos serviços de hospedagem têm custo nos Estados Unidos entre US$100 a US$200 por mês.
“Isso tudo é gerido pelo prestador do serviço”, segundo informou Aviv Raff. “É como um cliente que só paga pelo tempo em que suas atividades estão ativas. Nós não temos os números exatos, mas como qualquer outro serviço na “nuvem”, é razoável que a conta seja muito mais acessível do que comprar o kit e procurar uma hospedagem para o mesmo”.
O cliente deve fornecer seu próprio malware para suas atividades de infecção de computadores. Eles também devem invadir sites, a fim de que suas vítimas sejam redirecionadas para os servidores controlados pelos operadores do “Incognito”.
Quando uma vítima em potencial visita um dos sites infectados, é exibido um “frame” que traz em seu conteúdo “exploits” dos servidores “Incognito”, que começa a tentar invadir as máquinas com várias ações.
Até agora, a “Seculert” informou que cerca de 8.000 sites legítimos foram “hackeados” e estão espalhando “exploits” hospedados nos servidores do “Incognito”. Algumas vítimas são infectadas quando visitam esses sites através da navegação normal, disse Aviv Raff.
Mas os hackers também têm utilizado campanhas de spam para tentar atrair as pessoas para os sites infectados.
Uma dessas mensagens de spam, recentemente interceptada pela “Seculert”, pretendia ser uma mensagem de apoio a partir do Twitter, que encorajava as pessoas a clicar em um link que supostamente veiculava um vídeo mostrando de perto os reatores nucleares em Fukushima danificadas pelo tsunami no início deste mês. Se uma pessoa clicar no link, nenhum vídeo seria exibido, e um “Trojan Downloader” seria instalado no computador que tiver uma vulnerabilidade de software.
“Incognito 2.0” fornece uma interface de gerenciamento baseada na Web onde os clientes podem verificar quantos computadores foram infectados e que tipo de “exploits” foram utilizados, disse Aviv Raff.

Incognito Estatísticas

A “Seculert” afirma que o “Incognito 2.0” parece ser um negócio em crescimento, sendo que após seus pesquisadores teriam analisado sua infra-estrutura e descoberto que pelo menos 30 clientes estavam usando-o para instalar de tudo, desde o Trojan “Zeus” até “downloaders” genéricos que podem instalar outros programas maliciosos nos computadores infectados.
Pelo menos 150 mil máquinas foram infectadas durante um período de duas semanas em janeiro. Cerca de 70 por cento dos computadores foram infectados com um “exploit” para uma vulnerabilidade no “Java Runtime Environment” e outros 20 por cento foram infectados através de uma vulnerabilidade no Adobe Reader.

Fonte: http://blog.seculert.com/2011/03/exploit-kits-as-service.html

Deixe uma resposta