Botnet que escravizou 770 mil PCs em todo o mundo foi derrubada

Por Redação | 15 de Abril de 2015 às 08h30

Empresas de segurança digital de todo o mundo e agências governamentais disseram ter derrubado uma botnet que escravizou mais de 770 mil computadores em 190 países, roubou credenciais bancárias dos usuários e criou um backdoor para instalar ainda mais malwares nas máquinas infectadas.

Os operadores da botnet, conhecida como "Simda", exploravam vulnerabilidades conhecidas de softwares como Java, Adobe Flash e Microsoft Silverlight para infectar as máquinas. Outros métodos de contaminação incluíam o envio de spam e outras formas de engenharia social. Os países mais afetados foram Estados Unidos, com 22% das infecções, seguido do Reino Unido (5%), Canadá (4%) e Rússia (4%).

A Simda conseguiu infectar mais de 128 mil computadores por mês ao longo do último semestre graças ao acesso remoto concedido pelo backdoor e à organização de seus criadores. O backdoor criado pela rede de computadores zumbi era capaz de se transformar em poucas horas, o que o colocava sempre um passo à frente dos antivírus, tornando-o praticamente indetectável.

O malware modificava o arquivo Hosts, usado na tradução de um nome compreensível para os seres humanos em um endereço IP, que identifica um integrante ou destino da rede. Como resultado do ataque, os computadores infectados que tentavam acessar endereços específicos, como "connect.facebook.net" ou "google-analytics.com", eram desviados para servidores que estavam sob o controle dos hackers.

A operação para derrubar a botnet envolveu a apreensão de 14 servidores que estavam nos Países Baixos, Estados Unidos, Polônia, Luxemburgo e Rússia. A ação foi altamente coordenada e ocorreu simultaneamente em todo o mundo na última semana. Ela foi comandada pela Interpol e envolveu agências como FBI, Unidade Nacional de Crimes de Alta Tecnologia da Holanda, Departamento de Tecnologia da Polícia de Luxemburgo e o Ministério Russo. A Interpol também trabalhou com a Microsoft, Kaspersky, Trend Micro e o Instituo de Defesa Cibernética do Japão.

Dica de segurança

Mesmo após a remoção do Simda, o arquivo Hosts modificado permanece na máquina. Para evitar cair em novas armadilhas, os pesquisadores aconselham que possíveis usuários infectados verifiquem o seu arquivo Hosts. Geralmente, este arquivo está localizado em "C:\Windows\System32\drivers\etc\hosts". Encontre a pasta "etc" digitando seu endereço na busca do Windows.

A Kaspersky Lab disponibilizou um site especialmente dedicado aos usuários que desejam descobrir se foram infectados com o Simda ou não. Ela é eficaz desde que o endereço de IP do usuário não tenha mudado desde o dia em que a infecção foi detectada.

Fonte: Kaspersky Lab

Inscreva-se em nosso canal do YouTube!

Análises, dicas, cobertura de eventos e muito mais. Todo dia tem vídeo novo para você.