Keyloggers em páginas da Internet
August 2010
Numerosas entradas de Keystroke logger no Pastebin.com dão lugar a suspeitas de infestação maciça de spyware.
Como se o número de entradas keystroke logger, que recentemente chegou ao Pastebin (aplicação web que permite que seus usuários façam upload de trechos de textos) não fosse suspeito o bastante, o seu conteúdo também levanta desconfianças: ao invés do código aberto esperado, existem senhas no Facebook e Instant Messenger com informações detalhadas de usuários desavisados.
A quantidade de dados pessoais expostos publicamente é grande o suficiente para eliminar a suposição de que um invasor poderia ter postado isso manualmente. Um olhar mais profundo sobre a questão revela que este é o resultado de uma infestação maciça de keylogger, um programa de computador spyware que monitora tudo o que a vítima digita, com o objetivo de descobrir informações como senhas de banco e números de cartão de crédito.
Resultados dos dados da pesquisa
Por que usar o Pastebin.com como um receptor de log?
Os keyloggers tradicionais utilizam abordagens clássicas de transferência de registro e enviam os pacotes de dados via e-mail ou FTP, o que aumenta drasticamente a possibilidade dos agentes da lei descobrirem quem é o invasor remoto e finalmente pegá-lo. Além disso, é fácil para um administrador de sistema localizar os dados, para não mencionar que os utilitários anti-malware geralmente permitem que os usuários saibam quando um e-mail deixa o sistema. Outras vezes, as portas de e-mail (geralmente definidas como 25, 465 ou 578) podem ser protegidas ou bloqueadas, o que deixaria o keylogger sem efeito.
É por isso que este keylogger em particular usa táticas personalizadas como depositar a saída em um local comum global via web. Em poucas palavras, o Pastebin não é igual a nenhum firewall para bloquear o tráfego, no caminho de rastreamento, não originários de endereços IP, sem identidade exposta ao lado do invasor.
Um relatório de keylogger, como aparece no Pastebin
O Pastebin é uma imensa plataforma colaborativa de hospedagem de milhões de linhas de código publicadas como texto simples. Ao contrário de fóruns ou redes sociais, é pouco provável que o texto publicado seja visto por outros usuários, a menos que seja especificamente procurado, mas pesquisas segmentadas vão certamente trazer os logs relevantes direto na janela do navegador.
Portanto, não só as vítimas podem obter todas as suas credenciais roubadas através do keylogger, mas também os dados recolhidos serão disponibilizados a todos os usuários da Internet. Para completar, tudo o que foi postado fica acessível para sempre - mesmo que as respectivas páginas sejam retiradas (o lado negativo de cachê de dados) - para que outras pessoas mal-intencionadas possam coletar essas informações a qualquer momento e usá-las novamente.
Um olhar mais atento em fóruns subterrâneos usados pelos criadores de malware revela uma generosa quantidade de código-fonte que pode ser integrada nos próximos tipos de keyloggers. Isso faz com que a situação seja muito mais preocupante do que uma mini-epidemia causada pelo surgimento de um único pedaço de malware e marca o início de uma nova forma de exploração de serviços públicos e de renome, tal como aconteceu com o Twitter e os botnets (programas de computador executados automaticamente e de forma autônoma).
Fragmento de código do Visual Basic demonstra como enviar os dados presos a uma URL Pastebin
Parece que um dos keyloggers usando Pastebin como dropbox anônimo foi encontrado in the wild, o que explicaria a maioria dos posts. Identificado pelo BitDefender como Trojan.Keylogger.PBin.A, o keylogger é um aplicativo de console e usa a API Pastebin para enviar a combinação de teclas interceptada em intervalos aleatórios.
Sobre a BitDefender®
A BitDefender® é a criadora de um dos mais rápidos e eficientes sistemas de segurança de abrangência internacional. Desde 2001, a companhia tem registrado crescimento em todo mercado, com o desenvolvimento de novos padrões para prevenção pró-ativa de riscos. Dessa forma, os aplicativos da BitDefender® protegem dezenas de milhões de usuários domésticos e corporativos em todo o mundo, oferecendo experiências digitais confiáveis e seguras.
As soluções da BitDefender® são comercializadas por uma rede de distribuidores e revendas espalhada por mais de 100 países. No Brasil, seus produtos são distribuídos pela XpressSoft, empresa que atua no mercado latino-americano desde 2001. O site www.malwarecity.com da BitDefender® fornece suporte e as últimas atualizações sobre segurança contra ameaças, ajudando os usuários a ficar informados na batalha diária contra o malware.
Informações para a imprensa:
VIANEWS Comunicação Integrada Tel.: (55 11) 3865-9990
Sueli Godoy [email protected]
Luciana Aulicino [email protected]
Alcione Cavalcante [email protected]
Business Insights
- Bitdefender Threat Debrief | August 2023
- CTI and Its Frameworks: Unpacking the Diamond Model
- Emerging Cyber Threats and Innovations: Key Highlights from Black Hat 2023
HOTforSecurity
Bitdefender Lab
IoT Insights
