CEIDPageLock
No verão de 2018, pesquisadores de segurança do PC têm monitorado uma ameaça conhecida como CEIDPageLock. O CEIDPageLock é um rootkit, uma ameaça que infecta um computador nos seus níveis mais profundos. O CEIDPageLock está sendo entregue às vítimas atualmente pelo RIG Exploit Kit. O rootkit CEIDPageLock foi observado pela primeira vez no início de 2018. O próprio ataque do CEIDPageLock é um simples seqüestrador de navegador. Ele assume o navegador da vítima e altera a página inicial do navegador da Web para uma versão falsa do 2345.com, um diretório da Web que é popular em China. O rootkit CEIDPageLock foi atualizado regularmente e realiza um ataque sofisticado que vai além da maioria dos seqüestradores de navegador e malwares desse tipo. Em seu ataque, o CEIDPageLock substituirá vários sites chineses populares por versões falsas, que podem ser usadas para gerar receita publicitária e coletar dados e senhas online das vítimas.
Índice
Numerosos Computadores Já Foram Infectados pelo CEIDPageLock
A grande maioria das infecçōes pelo CEIDPageLock, cerca de 11 mil no momento da redação, estão localizadas na China. Além dessas, os pesquisadores de segurança do PC receberam relatos de algumas dezenas de infecções pelo CEIDPageLock que apareceram em países fora da China. É claro que a campanha de malware do CEIDPageLock visa essa região geográfica. O CEIDPageLock permite que os criminosos monitorem os hábitos on-line dos usuários de computador, entreguem anúncios nos computadores da vítima e podem ser usados como ponto de partida para campanhas mais invasivas ou ameaçadoras.
Como o CEIDPageLock Entra em um Computador
Os pesquisadores de segurança do PC associaram o CEIDPageLock a um Trojan dropper que usa um falso certificado de segurança para contornar as defesas de muitos computadores. O CEIDPageLock usa um driver que é executado durante a inicialização, violando o computador da vítima de uma forma que o software de segurança comumente usado é ignorado. O CEIDPageLock é compactado usando várias técnicas de ofuscação projetadas para impedir que os pesquisadores de malware investiguem o código do CEIDPageLock ou determinem como o CEIDPageLock funciona.
Como Funciona o Ataque do CEIDPageLock
A principal parte do ataque do CEIDPageLock é redirecionar a vítima quando ela visita vários sites chineses, como uma forma de lucrar às custas do usuário do computador. Existem várias variantes do CEIDPageLock, e essa ameaça foi atualizada regularmente pelos seus desenvolvedores. O CEIDPageLock usa técnicas de rootkit para impedir que a vítima detecte e remova o CEIDPageLock. Esse aspecto de rootkit do CEIDPageLock é o que torna o CEIDPageLock exclusivo. O uso de técnicas de rootkit pode estar ligado a ataques mais sofisticados ou destrutivos. Os seqüestradores de navegador são considerados malwares de baixo nível, geralmente nem classificados como malware, mas como Programas Potencialmente Indesejados (PPIs). O uso de técnicas de rootkit para realizar esses ataques parece um exagero por parte das pessoas responsáveis pelo ataque do CEIDPageLock. No entanto, quando se considera as possíveis maneiras pelas quais os criminosos podem lucrar com esses ataques, a implementação de técnicas de rootkit pode valer a pena para os criminosos.
Protegendo o Seu Computador contra Ameaças como o CEIDPageLock
A remoção dos seqüestradores de navegador não é difícil, e muitas vezes pode ser realizada executando-se uma digitalização com um programa de segurança e, em seguida, restaurando quaisquer configurações do navegador da Web que possam ter sido alteradas pelo software invasor. No entanto, no caso do CEIDPageLock, que usa técnicas avançadas de rootkit no seu ataque, a remoção pode ser muito mais difícil. Ao lidar com o CEIDPageLock, os pesquisadores de segurança do PC recomendam fortemente que os usuários de computador garantam que o seu software de segurança tenha recursos anti-rootkit. Às vezes, um aplicativo de segurança separado deve ser usado para remover o CEIDPageLock e ameaças semelhantes. Já que o principal meio de entrega do CEIDPageLock é através do RIG Exploit Kit, que pode ser instalado em sites questionáveis online, usando proteção anti-malware em tempo real e sendo cauteloso com os sites visitados são fundamentais na prevenção de ataques como do CEIDPageLock e de se tornar uma vítima dos kits de exploração online.
