A quadrilha de cibercriminoso por trás da botnet Kelihos é acusada de enganar os usuários para instalar malware em seus computadores, apelando para os sentimentos pró-russos alimentada por recentes sanções internacionais contra o país.
Pesquisadores de empresas de segurança Websense e Bitdefender têm observado de forma independente uma nova campanha de spam que incentiva falantes de russo para oferecer seus computadores para uso em Distributed Denial-of-service (DDoS) contra sites de governos que impuseram sanções à Rússia por seu envolvimento em o conflito no leste da Ucrânia.
"Nós somos um grupo de hackers da Federação Russa, estamos preocupados com as sanções injustificadas que os países ocidentais impõem contra nosso país", os e-mails de spam de acordo com uma tradução por pesquisadores da Bitdefender. "Nós codificado nossa resposta e abaixo você vai encontrar o link para o nosso programa. Execute o aplicativo em seu computador, e ele vai secretamente começam a atacar as agências governamentais dos estados que adotaram essas sanções."
Os links nas mensagens de e-mail apontar para uma versão do programa Trojan usado no Kelihos, ou Hlux, botnet, pesquisadores de segurança da Websense, disse sexta-feira em um post de blog. Nesses quatro anos a botnet tem sido associada ao longo do tempo com várias atividades maliciosas, incluindo o envio de spam,roubar senhas de navegadores, clientes de FTP e outros programas; mineração de Bitcoins; proporcionar o acesso de backdoor para computadores e lançar ataques DDoS, disseram.
Apesar da funcionalidade DDoS em algumas variantes do malware Kelihos, este novo convite para oferecer computadores para ataques contra sites do governo ocidentais é apenas uma artimanha para obter mais sistemas infectados, de acordo com Bogdan Botezatu, analista sênior e-ameaça a Bitdefender.
"Ao dar as vítimas um propósito e supostamente capacitando-os para fazer parte da guerra a partir da segurança de sua casa, os atacantes melhoram suas chances de colher os computadores que serão eventualmente utilizados para outras tarefas", disse Botezatu terça-feira por e-mail. "Os operadores de botnets Kelihos tem apenas um objetivo final:. Monetizar as máquinas infectadas"
Isso também é sugerido pela presença de três arquivos no programa de malware distribuído pela campanha de spam que pode ser usado para interceptar e monitorar o tráfego da rede local, que não tem nada a ver com os ataques DDoS. Esses arquivos, chamados npf_sys, packet_dll e wpcap_dll, são na verdade parte de um aplicativo legítimo chamado WinPcap e são assinados digitalmente.
"Kelihos depende desses arquivos para herdar a funcionalidade de monitoramento de rede, uma característica que de outra forma teriam de ser desenvolvidas inhouse", disse Botezatu. "Às vezes, os cibercriminosos reutilização de conhecimento público e bibliotecas generalizados para conseguir algumas dessas funcionalidades, porque essas bibliotecas têm sido extensivamente testado (eles são menos propensos a falhar) e eles também são conhecidos pela indústria de segurança, para que não corra o risco de ficar excluídos. "
Botezatu acredita que este último truque pela quadrilha Kelihos poderia ter uma alta taxa de sucesso, especialmente porque alguns ataques DDoS lançados por grupos hacktivistas como Anonymous no passado chegou a envolver voluntários que baixaram e instalaram programas especializados em seus computadores. Tais ataques baseados em voluntários também foram organizados na Rússia, em 2008, durante o conflito russo-georgiano, de acordo com relatos da época.
"Esta abordagem não só maximiza o número de vítimas potenciais, mas também permite que hackers possa pegar geograficamente as metas entre os países que são mais propensos a responder a essa chamada: os cidadãos russos e ucranianos que são pouco afetados pelas sanções", disse Botezatu.
Esta história, "Hackers atacam patriotismo russo para crescer o botnet Kelihos" foi originalmente publicado pelo IDG News Service.
Fonte: IDG News Service & ComputerWorld