22.08.07
Symantec analisa Cavalo de Tróia Monster
Fonte: vu
A Symantec analisou uma amostra de um novo tipo de cavalo de Tróia, chamado de Infostealer.Monstres. A praga estava fazendo upload de dados do site de recrutramento Monster.com para um servidor remoto. Ao acessar aquele servidor foram encontradas mais de 1.6 milhões de entradas com dados pessoais pertencentes a centenas de milhares de pessoas. Intrigados pelo fato de que um cavalo de tróia tão pouco ativo como este pudesse ter atacado um número tão grande de pessoas, a empresa decidiu investigar a fundo como aqueles dados puderam ser obtidos.
Um detalhe que particularmente chamou atenção foi que apenas conexões com os subdomínios hiring.monster.com e recruiter.monster.com foram feitas. Estes subdomínios pertencem apenas ao site "Monster for employers", a seção usada pelos recrutadores e pessoal de recursos humanos para buscar candidatos em potencial e para anunciar oportunidades de trabalho no Monster. Este site requer o uso de senhas pessoais para que os recrutadores possam acessar a informação sobre os candidatos.
Investigações posteriores mostraram que o cavalo de tróia parecia estar usando as credenciais (provavelmente roubadas) de alguns recrutadores, garantindo para si o acesso ao web site e abrindo a possibilidade de realizar buscas por currículos de candidatos residentes em certos paises ou que trabalhem em certos campos. O cavalo de tróia envia comandos HTTP para o site monster.com a fim de navegar para a seção de pastas gerenciadas; em seguida ele analisa o fluxo de saída de dados a partir de uma janela pop-up contendo perfis de candidatos que coincidam com as buscas salvas pelo recrutador.
Os detalhes pessoais daqueles candidatos, tais como nome, sobrenome, endereço eletrônico, país de origem, endereço residencial, telefones residencial e comercial e identificação do currículo são enviados a um servidor remoto controlado pelos hackers. O servidor investigado continha mais de 1.6 milhões de entradas com informações pessoais, provenientes de centenas de milhares de candidatos que enviaram seus currículos ao site Monster.com, especialmente aqueles domiciliados nos EUA.
Um banco de dados como esse, composto por grande número de informações altamente confidenciais é o sonho de todo criador de spam. De fato, constatamos que o cavalo de tróia também pode ser instruído a enviar spam de e-mail, utilizando um modelo de mensagem de correio retirado do servidor de controle e comando.
O principal arquivo usado por Infostealer.Monstres, o ntos.exe, também é comumente usado pelo Trojan.Gpcoder.E e ambos tem um ícone similar para o arquivo executável, que reproduz o logo da Monster.com; isso dificilmente poderia ser considerado como uma mera coincidência.
A Symantec também registrou ocorrências de cavalos de tróia do tipo Trojan.Gpcoder. E sendo disseminados através de e-mails de phishing no Monster.com, esses e-mails eram bastante verossímeis já que continham informações pessoais das vítimas; a seguir eles solicitavam que o recebedor fizesse download de uma ferramenta de busca do Monster, o que na verdade era uma cópia do cavalo de tróia Trojan.Gpcoder.E. Esta praga codifica arquivos no computador afetado e deixa uma mensagem exigindo dinheiro da vítima a fim de que esta possa recuperar seus arquivos. O código do Gpcoder é bastante parecido com aquele do Monsters, o que pode ser um indício de que o mesmo grupo de hackers está por trás de ambos os cavalos de Tróia.
A empresa Monster.com foi avisada, de modo que ela possa desabilitar as contas dos recrutadores afetados.
Para proteger sua identidade toda vez que utilizar os serviços de sites de recrutamento e seleção ou pelo menos para minimizar o risco de roubo de identidade, deve-se limitar a informação que se coloca nesses sites. Deve-se utilizar um endereço de e-mail descartável e nunca revelar detalhes importantes tais como o número de seu CPF, de seu passaporte ou carteira de motorista e dados de suas contas bancárias; isso só deverá ser feito posteriormente, quando houver absoluta certeza acerca da identidade de um potencial empregador.
