Keyloggers em páginas da internet

Fonte: vu

Como se o número de entradas keystroke logger, que recentemente chegou ao Pastebin (aplicação web que permite que seus usuários façam upload de trechos de textos) não fosse suspeito o bastante, o seu conteúdo também levanta desconfianças: ao invés do código aberto esperado, existem senhas no Facebook e Instant Messenger com informações detalhadas de usuários desavisados.

A quantidade de dados pessoais expostos publicamente é grande
o suficiente para eliminar a suposição de que um invasor poderia
ter postado isso manualmente. Um olhar mais profundo sobre a
questão revela que este é o resultado de uma infestação maciça
de keylogger, um programa de computador spyware que monitora
tudo o que a vítima digita, com o objetivo de descobrir informações
como senhas de banco e números de cartão de crédito.

Por que usar o Pastebin.com como um receptor de log?

Os keyloggers tradicionais utilizam abordagens clássicas de
transferência de registro e enviam os pacotes de dados via e-mail
ou FTP, o que aumenta drasticamente a possibilidade dos agentes
da lei descobrirem quem é o invasor remoto e finalmente pegá-lo.
Além disso, é fácil para um administrador de sistema localizar os
dados, para não mencionar que os utilitários anti-malware
geralmente permitem que os usuários saibam quando um e-mail
deixa o sistema. Outras vezes, as portas de e-mail (geralmente
definidas como 25, 465 ou 578) podem ser protegidas ou
bloqueadas, o que deixaria o keylogger sem efeito.

É por isso que este keylogger em particular usa táticas
personalizadas como depositar a saída em um local comum global
via web. Em poucas palavras, o Pastebin não é igual a nenhum
firewall para bloquear o tráfego, no caminho de rastreamento, não
originários de endereços IP, sem identidade exposta ao lado do
invasor.

O Pastebin é uma imensa plataforma colaborativa de hospedagem
de milhões de linhas de código publicadas como texto simples. Ao
contrário de fóruns ou redes sociais, é pouco provável que o texto
publicado seja visto por outros usuários, a menos que seja
especificamente procurado, mas pesquisas segmentadas vão
certamente trazer os logs relevantes direto na janela do
navegador.

Portanto, não só as vítimas podem obter todas as suas credenciais
roubadas através do keylogger, mas também os dados recolhidos
serão disponibilizados a todos os usuários da Internet. Para
completar, tudo o que foi postado fica acessível para sempre -
mesmo que as respectivas páginas sejam retiradas (o lado
negativo de cachê de dados) - para que outras pessoas mal-
intencionadas possam coletar essas informações a qualquer
momento e usá-las novamente.

Um olhar mais atento em fóruns subterrâneos usados pelos
criadores de malware revela uma generosa quantidade de código-
fonte que pode ser integrada nos próximos tipos de keyloggers.
Isso faz com que a situação seja muito mais preocupante do que
uma mini-epidemia causada pelo surgimento de um único pedaço
de malware - e marca o início de uma nova forma de exploração
de serviços públicos e de renome, tal como aconteceu com o
Twitter e os botnets (programas de computador executados
automaticamente e de forma autônoma).

Parece que um dos keyloggers usando Pastebin como dropbox
anônimo foi encontrado "in the wild", o que explicaria a maioria
dos posts. Identificado pelo BitDefender como
Trojan.Keylogger.PBin.A, o keylogger é um aplicativo de console e
usa a API Pastebin para enviar a combinação de teclas
interceptada em intervalos aleatórios.