Computer Security O BlackholeExploit Kit Usou Falsos E-Mails da AT&T...

O BlackholeExploit Kit Usou Falsos E-Mails da AT&T para Instalar Malware sob o Radar Anti-Malware

Os e-mails de phishing não são muito diferentes das mensagens de spam, pois ambos servem para enganar os usuários de PC a ponto de clicarem em um link malicioso ou baixarem/instalarem um aplicativo malicioso.

O mais recente golpe de phishing identificado, supostamente proveniente da AT&T, tenta informar ao destinatário que sua nova fatura está pronta para exibição (exemplo na Figura 1 abaixo). Provavelmente, a parte mais perturbadora dessa mensagem de phishing é que é quase uma cópia exata dos e-mails legítimos da AT&T comumente enviados aos clientes para simplesmente deixá-los cientes de que sua próxima fatura está pronta para ser vista.

Figura 1. FExemplos de Falsas Mensagens vs. Reais da AT&T 'Sua Conta está Pronta para ser Visualizada' (fonte da imagem: resourcesforlife.com)
fake-real-att-your-bill-is-ready-to-view-email

As diferenças notáveis em um e-mail real da AT&T 'Sua conta está pronta para visualizar' versus a mensagem de phishing falsa, são o número da conta e o nome do cliente listado no e-mail real. No e-mail falso da AT&T 'Sua conta está pronta para visualizar', ela utiliza uma quantia devida em dólar e simplesmente cumprimenta o usuário como 'Prezado Cliente'.

Naturalmente, quando você receber um e-mail sobre uma fatura a ser paga, primeiro verifique se possui os fundos para pagá-la. Em segundo lugar, você provavelmente clicará no link do e-mail para carregar rapidamente seu site de pagamento de contas on-line. No caso da mensagem de phishing da AT&T 'sua conta está pronta para exibição', os links fornecidos na mensagem redirecionam os usuários para um site que hospeda o kit de exploração do Blackhole.

O Blackhole Exploit Kit é um kit de crimeware independente, uma vez vendido por cerca de US $1.500 por uma licença anual. O kit de exploração Blackhole específico encontrado no site redirecionado do link de e-mail de phishing da AT&T é aquele que explora vulnerabilidades nos navegadores da web de um usuário de PC. O site malicioso, contendo o kit de exploração do Blackhole, está hospedado em um servidor comprometido.

O carregamento do kit de exploração do Blackhole, geralmente realizado quando o redirecionamento do site ocorre, basicamente baixa o malware no computador. Esse malware em particular, considerado uma nova ameaça não detectada por software antivírus ou antimalware, pode se injetar em processos em execução, onde entrará em contato com um servidor remoto considerado parte de uma botnet. Pesquisadores da Websense contemplaram a idéia de que o ataque parece ser uma variante da infame família do malware Zeus.

Relatamos em muitas ocasiões os perigos que acompanham o Zeus, sendo um botnet agressivo formado para atingir instituições financeiras ignorando a detecção.

Não devemos esquecer que esta campanha de phishing da AT&T em particular começa com uma mensagem de email de spam muito convincente. Com essa ameaça tendo as conseqüências de infectar PCs com uma botnet, tudo nas mãos do kit de exploração do Blackhole fazendo o que foi originalmente concebido para fazer, podemos estar olhando para outra aquisição por uma botnet. Nesse caso, os PCs que estão sendo infectados com essa mensagem falsa de phishing da AT&T 'sua conta está pronta para visualizar', uma enorme rede de bots (grupo de computadores infectados e comprometidos) podem ser formados para realizar uma infinidade de ações maliciosas na Internet. Quem sabe, esse poderia ser o próximo botnet do tipo Conficker em desenvolvimento.

Carregando...