Trojan Lurks, aguardando para roubar senhas de administrador

O programa de cavalos de Tróia que rouba senhas descobriu que um pouco de paciência pode levar a muitas infecções.

Eles conseguiram infectar centenas de milhares de computadores - incluindo mais de 14.000 dentro de uma rede global de hotéis - esperando por Os criminosos por trás do Trojan Coreflood estão usando o software para roubar nomes de usuários e senhas de contas bancárias e de corretagem. Eles acumularam um banco de dados de 50 GB dessas informações nas máquinas que infectaram, de acordo com Joe Stewart, diretor de pesquisa de malware do fornecedor de segurança SecureWorks.

[Leia mais: Como remover malware do seu PC com Windows]

"Eles conseguiram se espalhar por empresas inteiras", disse ele. "Isso é algo que você raramente vê nos dias de hoje".

Desde que a Microsoft lançou seu software Windows XP Service Pack 2 com seus recursos de segurança bloqueados, os hackers tiveram dificuldade em encontrar maneiras de espalhar software malicioso pelas redes corporativas. Surtos generalizados de vírus ou vírus logo caíram após o lançamento do software em agosto de 2004. Mas os hackers Coreflood tiveram sucesso, graças em parte a um programa da Microsoft chamado PsExec, que foi escrito para ajudar administradores de sistemas a executar softwares legítimos em computadores. redes.

Para uma infecção generalizada, os invasores precisam primeiro comprometer um sistema na rede enganando o usuário para fazer o download do programa. Então, quando um administrador de sistema efetua logon nessa máquina de desktop - para realizar manutenção de rotina, por exemplo - o software malicioso tenta executar o PsExec e instalar malware em todos os outros sistemas na rede.

Frequentemente, a técnica é bem-sucedida. > Nos últimos 16 meses, os autores da Coreflood infectaram mais de 378.000 computadores. O SecureWorks contabilizou milhares de infecções em redes de universidades e encontrou empresas financeiras, hospitais, escritórios de advocacia e até mesmo uma agência da polícia estadual dos EUA que teve centenas de infecções. "É meio insano a frequência com que eles estão conseguindo centenas ou milhares de computadores em uma única empresa", disse Stewart. "Eles provavelmente roubaram muito mais contas do que podem usar."

O SANS Internet Storm Center relatou uma das infecções, que afetou 600 máquinas em uma rede de 3.000 PCs, em 25 de junho.

Programas maliciosos usaram PsExec por mais de cinco anos, disse o criador do software, Mark Russinovich, um técnico da Microsoft. No entanto, esta é a primeira vez que ele ouviu falar de ser usado desta maneira. "O PsExec não expõe nada que um autor de malware não possa codificar a si mesmo ou mesmo realizar com mecanismos alternativos", disse ele em entrevista por e-mail. "Uma vez que você tenha credenciais que lhe dêem direitos de administrador local via acesso remoto, você possui esse sistema."

O Coreflood, que também é conhecido como o Trojan da AFcore, existe há cerca de seis anos. Ele já foi usado no passado para lançar ataques de negação de serviço, mas não para roubar senhas, disse Stewart.