Repórter News - reporternews.com.br
Nova versão do trojan Scob atinge o IE
Uma nova versão do ataque conhecido como Download.Ject ou trojan Scob foi identificada na Internet e pode comprometer máquinas que rodem o sistema operacional Windows. Descoberto pela empresa de segurança PivX Solutions, a nova versão segue a anterior e tem como principal objetivo instalar um trojan para capturar senhas e dados financeiros da vítima. O novo download.ject já recebeu os nomes de JS/Scob.B, Scob.B, StartPage-EU, Download.Ject2, JS/Ject.B, HTML/Ject.B, ownload.Ject-style, dependendo da empresa de segurança.
O ataque pode ter início por meio de uma mensagem de e-mail ou de mensagens instantâneas enviadas por programas como AIM ou ICQ. O texto traz a indicação de um endereço de site pessoal na Web para a visitação e, ao ser acessada, a página maliciosa tenta infectar o usuário por meio de vulnerabilidades já conhecidas no navegador Internet Explorer e publicadas no boletim MS04-25 da Microsoft. A página inicial do navegador é modificada para a de um site identificado como TargetSearch, que abre várias janelas com conteúdo adulto.
O link indicado leva o usuário a uma página que contém um exploit que se aproveita de uma vulnerabilidade conhecida como "Object Data" no Internet Explorer. Caso o sistema esteja desatualizado, surge uma janela pop-up, incumbida de redirecionar automaticamente o usuário para outra página que contém outro exploit. Este, se aproveita de outra vulnerabilidade já conhecida, a "MHTML Redirect", para processar um script e executá-lo na zona de segurança local do usuário.
Tal script faz referência a um arquivo CHM (um formato executável de ajuda HTML), que contém um trojan capaz de explorar uma outra vulnerabilidade, a "CodeBase", para instalar-se nos sistemas vulneráveis. Assim que o cavalo-de-Tróia se executa, modifica a página inicial do Internet Explorer e suas opções de busca são apontadas para um site que contém diversos endereços para conteúdos pornográficos.
O primeiro ataque Download.ject surgiu em junho passado e os servidores utilizados para comprometer as máquinas dos usuários também foram vítimas de ataques de terceiros. Um trojan foi utilizado para adicionar um Javascript malicioso em alguns sites da Web. Ao ser executado, conseguia descarregar e executar outro arquivo malicioso, armazenado em um servidor localizado na Rússia e usado para infectar as máquinas dos usuários.
De acordo com o analista da PivX Solutions LLC, Thor Larholm, desta vez os atacantes inseriram o código em vários servidores localizados nos Estados Unidos, Rússia e Uruguai, aparentemente com o conhecimento de seus proprietários. Alguns dos sites são dedicados à pornografia ou oferecem publicidade a outros servidores.
Fontes como CRN.com, VSAntivirus e InfoWorld informam ainda que, segundo Larholm, o navegador Internet Explorer 6 rodando no Windows XP, mesmo com todas as correções de segurança, pode ser atingido. Por outro lado, fontes como IDG, notificam que apenas sistemas sem as atualizações indicadas no boletim MS04-025, lançado no final de julho pela Microsoft, estão vulneráveis. Em qualquer caso, os sistemas Windows XP como o Service Pack 2 não seriam afetados.
O ataque pode ter início por meio de uma mensagem de e-mail ou de mensagens instantâneas enviadas por programas como AIM ou ICQ. O texto traz a indicação de um endereço de site pessoal na Web para a visitação e, ao ser acessada, a página maliciosa tenta infectar o usuário por meio de vulnerabilidades já conhecidas no navegador Internet Explorer e publicadas no boletim MS04-25 da Microsoft. A página inicial do navegador é modificada para a de um site identificado como TargetSearch, que abre várias janelas com conteúdo adulto.
O link indicado leva o usuário a uma página que contém um exploit que se aproveita de uma vulnerabilidade conhecida como "Object Data" no Internet Explorer. Caso o sistema esteja desatualizado, surge uma janela pop-up, incumbida de redirecionar automaticamente o usuário para outra página que contém outro exploit. Este, se aproveita de outra vulnerabilidade já conhecida, a "MHTML Redirect", para processar um script e executá-lo na zona de segurança local do usuário.
Tal script faz referência a um arquivo CHM (um formato executável de ajuda HTML), que contém um trojan capaz de explorar uma outra vulnerabilidade, a "CodeBase", para instalar-se nos sistemas vulneráveis. Assim que o cavalo-de-Tróia se executa, modifica a página inicial do Internet Explorer e suas opções de busca são apontadas para um site que contém diversos endereços para conteúdos pornográficos.
O primeiro ataque Download.ject surgiu em junho passado e os servidores utilizados para comprometer as máquinas dos usuários também foram vítimas de ataques de terceiros. Um trojan foi utilizado para adicionar um Javascript malicioso em alguns sites da Web. Ao ser executado, conseguia descarregar e executar outro arquivo malicioso, armazenado em um servidor localizado na Rússia e usado para infectar as máquinas dos usuários.
De acordo com o analista da PivX Solutions LLC, Thor Larholm, desta vez os atacantes inseriram o código em vários servidores localizados nos Estados Unidos, Rússia e Uruguai, aparentemente com o conhecimento de seus proprietários. Alguns dos sites são dedicados à pornografia ou oferecem publicidade a outros servidores.
Fontes como CRN.com, VSAntivirus e InfoWorld informam ainda que, segundo Larholm, o navegador Internet Explorer 6 rodando no Windows XP, mesmo com todas as correções de segurança, pode ser atingido. Por outro lado, fontes como IDG, notificam que apenas sistemas sem as atualizações indicadas no boletim MS04-025, lançado no final de julho pela Microsoft, estão vulneráveis. Em qualquer caso, os sistemas Windows XP como o Service Pack 2 não seriam afetados.
Fonte:
JB Online
URL Fonte: https://reporternews.com.br/noticia/375790/visualizar/
Comentários