Pesquisa da IronPort descobre Vínculo entre Criadores de Malware e Cadeia Ilegal de Produtos Farmacêuticos

Fonte: vu

A IronPort anuncia que uma recente pesquisa identificou um vínculo entre criadores de malwares, como o Storm e uma cadeia ilegal de produtos farmacêuticos que utiliza botnets para fazer ataques de spams divulgando os seus produtos. Em uma atualização do seu Internet Security Trends Report anual, a IronPort analisa o impacto desse tipo de ataque e mostra o verdadeiro intuito por trás de spams de produtos farmacêuticos e a sofisticação dos malwares.

A pesquisa da IronPort revelou que mais de 80% dos spams gerados pela botnet “Storm” fazem propagandas de venda de produtos farmacêuticos on line. Esse spam é enviado para milhões de PCs diariamente, que foram infectados pelo “worm” Storm através de vários sofisticados truques de engenharia social e explorações via web. Uma investigação mais profunda revelou que os templates de spam, URLs, sites, processamento de cartão, entrega de pedidos e até suporte ao cliente, eram serviços fornecidos por uma organização criminal russa.

Essa organização criminal recruta parceiros criadores de spam via botnet para anunciar seus sites ilegais de produtos, oferecendo 40% de comissão sobre as vendas. A organização oferece serviços de entrega dos pedidos, processamento de cartões de crédito e atendimento ao cliente. Mas os testes farmacológicos patrocinados pela IronPort revelaram que apenas 2/3 dos produtos continham ingrediente ativo, mas nunca na dosagem certa, enquanto o restante era placebo. Com isso os usuários corriam enorme risco de ingerir uma substância não-controlada de distribuidores estrangeiros.

“Nossa pesquisa revelou uma cadeia de distribuição extremamente sofisticada por trás de uma fachada de produtos farmacêuticos cujos pedidos eram colocados em sites forjados de empresas de venda on line de produtos farmaceuticos, que eram divulgadas através dos spams enviados por estas botnets, disse Patrick Peterson, vice-presidente de tecnologia da IronPort.

“Nossa pesquisa mostrou a ponta de um iceberg onde o “Storm” e outras botnets que geram spams, resultam em pedidos cujas receitas ultrapassam US$150 milhões por ano.”

No relatório especial da IronPort “2008 Internet Malware Trends: Storm and the Future of Social Engineering” (Tendências de Malwares na Internet em 2008: Storm e o Futuro da Engenharia Social) você encontra detalhes sobre o botnet Storm e a conexão com esta cadeia de produtos.

Esse relatório ainda identifica diversas formas em que o malware está sendo usado para infectar PCs onde ele se hospeda, driblando o software de segurança. Entre esses métodos estão:

-- Spam via webmail

Bots sofisticados estão operando em conjunto com processos automatizados e manuais de quebra de Captcha na criação de uma grande quantidade de contas gratuitas de webmail. (“Captcha” é o acrônimo de Completely Automated Public Turing Test to Tell Computers and Humans Apart (Teste Público Completamente Automatizado para Distinguir Computadores de Pessoas). Um teste comum de Captcha exige que a pessoa digite uma série de letras e números desconexos para garantir que a resposta não vem de um computador.) .

-- Invasão pelo Google

O malware de próxima geração está usando a opção de busca “Estou com sorte” do Google para desviar o tráfego para sites infectados.

-- iFrame injections

Um redirecionamento que ocorre quando um usuário visita um site com código malicioso agregado a ele como JavaScript.. O JavaScript diz aos navegadores para pegar um arquivo de um outro servidor web que na verdade hospeda vários cavalos de Tróia, freqüentemente disfarçados como um iFrame. Uma vez instalado, o cavalo de Tróia consegue fazer várias coisas, entre elas roubar senhas e dados do sistema.

Os botnets analisados no relatório são únicos porque agregam campanhas de spam aos eventos ou sites, usando uma combinação de e-mail e web para propagação. Além disso, esses ataques descentralizados e altamente coordenados possibilitaram uma série de invasões à internet, de ataques via e-mail, spam, phishing, mensagem instantânea e de negação de serviço (DoS).

O malware Storm foi o primeiro dessa tendência de sofisticada engenharia social a afetar 40 milhões de computadores em todo o mundo entre janeiro de 2007 e fevereiro de 2008, segundo pesquisadores da IronPort. No seu pico em julho de 2007, o Storm foi responsável por mais de 20% de todos os spams, infectando e ficando ativo em 1,4 milhões de computadores simultaneamente. Ele continuou a infectar e reinfectar cerca de 900 mil computadores por mês. Em setembro de 2007, o número de computadores ativos simultâneos gerando mensagens Storm caiu para 280 mil por dia, ou 4% de todos os spams. Hoje o Storm e suas variantes gera uma pequena parte dos mais de 161 bilhões de spams enviados diariamente.

Além de avaliar os danos dos ataques baseados em engenharia social, o relatório mostra em detalhe as tendências sobre o futuro dos spams e vírus e as medidas que as empresas precisam tomar para garantir a proteção das redes. O spam não é mais apenas uma irritação criada por pessoas em busca de fama. Hoje ele se transformou em iniciativas de malware organizadas, tecnicamente estruturadas e comparáveis em escala às operações de fabricantes reais de software idôneos. Para melhorar a eficiência e a lucratividade, os criadores de malware estão até mesmo oferecendo seus produtos como soluções completas, que incluem suporte técnico, ferramentas de análise e administração e atualização de software.

Para evitar a disseminação de botnets como o Storm e os seus sucessores, o relatório da IronPort recomenda que cada empresa possua um filtro de spam, avalie sua reputação na web, monitore as portas e a comunicação e tenha produtos antivírus e anti-malware ativos e atualizados.