Portal Now!Digital

Uma parte da praga virtual Storm está sendo 'alugada' para golpes de phishing na rede, que estão tentando roubar a identidade de clientes de dois bancos do Reino Unido, revelaram pesquisadores na quarta-feira (09/01).

Leia mais:

• Novo cavalo-de-tróia para Macintosh leva vítima a sites de golpes
• Worm para comunicador instantâneo infecta PC por mensagens falsas
  

Os recentes ataques de phishing parecem vir de domínios associados a campanhas conhecidas, desenvolvidos para criar o botnet de PCs infectados com o Storm.

Um dos ataques foi direcionado ao banco Barclays, e a empresa de segurança Fortinet confirmou a origem de máquinas controladas pelo Storm. O engenheiro de pesquisas da empresa, Derek Manky, enfatizou que os e-mails se originaram de um domínio de rápido fluxo que o botnet utiliza desde meados de 2007.

Neste fluxo, os endereços são registrados e excluídos de uma lista rapidamente, tanto com o uso de um único servidor DNS (do inglês Domain Name Server) como em uma área DNS inteira.

Em ambos os casos, a estratégia mascara o IP do site malicioso, escondendo-o atrás de um grupo de máquinas comprometidas, que atuam como proxies. Em casos extremos, os endereços mudam a cada segundo.

Mesmo após ter sido detectado e fechado, o domínio usado para promover o ataque ao Barclays mudou de endereço e começou a mandar e-mails aos clientes do Halifax, uma divisão do Banco da Escócia.

A F-Secure ligou os IPs utilizados no segundo ataque a domínios á utilizados pelo Storm, incluindo o postcards-2008.com, utilizado no spam de Ano Novo.

"Alguém está utilizando as máquinas infectadas e controladas pelo Storm para rodar fraudes de phishing. Nunca vimos isto antes", afirma o gerente de pesquisa da F-Secure, Mikko Hypponen. "Mas esperávamos algo nesta linha", admite.

"Podemos apenas presumir que talvez uma parte do botnet esteja sendo alugada para phishers", sugere o arquiteto de redes da Trend Micro, Paul Ferguson.

O botnet completa um ano de existência no dia 17 de janeiro.