Blog Suspeito.Net

March 28th, 2008

BotNet e DNS Changer fazem ataque a usuários do e-bank Banamex do México

banamex_email2.gif O Coordenador da Trend Micro na America Latina, Jose Lopez Tello, recentemente anunciou a descoberta de um ataque gerado por um malware que parece ser muito parecido com os Banamex phishing e-mails reportados em Janeiro passado e no início deste mês.

Semelhante aos últimos ataques, este malware visa roubar dinheiro pela cadeia de clientes Banamex, o maior e-Banco do México.

No entanto, ao invés de utilizar o método DNS Poisoning como fizeram os últimos atentados, este malware usa um script para alterar as configurações de DNS do usuário, e também instala um cliente botnet, que está sendo controlado por um servidor IRC em um datacenter localizado nos Estados Unidos.

Baseada na analise de Tellos, a infecção em cadeia é geralmente iniciada por um cartão falso e-card que um usuário recebe por e-mail. Este cartão electrônico contém um link que quando clicado faz o download do arquivo malicioso chamado Gusanito.exe.

O software antivírus da Trend Micro detecta esse arquivo como BKDR_VBBOT.AE. A diferença entre este novo ataque dos anteriores é que, desta vez, o executável malicioso baixado não muda os arquivos HOSTS e DNS locas da máquina do usuário. E apenas muda o DNS do computador afetado utilizando o seguinte script:

dns name= source=static addr=[IP address] register=PRIMARY

Assim, quando o usuário tenta acessar o website da Banamex , ele é redirecionado para um site de phishing (localizado no mesmo servidor da botnet).

O código da botnet cliente [BKDR_VBBOT.AE] também abre uma outra conexão para um servidor de IRC fora dos Estados Unidos que tem por objetivo enviar os comandos de um botmaster e capturar mais e-mails para espalhar a mensagem de contaminação com o vírus.

banamex_irc.gif Como descrito, existem mais de 650 bots já conectados a botnet C & C (Command & Control Server) e estes provavelmente estão enviando toneladas de falsos e-cards no momento. “Na verdade, você pode ver todos os e-mails da lista, que será atacada”, acrescenta Tello.

Os links e arquivos maliciosos já foram submetidos a Equipe da Trend Micro para a sua análise e bloqueio.

Fonte Blog da TrendMicro

Tags: , , , , , , , , , , , , , , , , , , ,

Posted in Alertas, Internet, Sobre Vírus |

This entry was posted on Friday, March 28th, 2008 at 3:21 am and is filed under Alertas, Internet, Sobre Vírus. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply