A Kaspersky Lab identificou uma nova modalidade de cibercrime no Brasil. Os cibercriminosos brasileiros passaram a adotar o uso de exploit kits, pacotes de códigos maliciosos prontos e negociados entre cibercriminosos com o intuito de automatizar ataques através da navegação web. O escolhido foi o BlackHole, criado e largamente utilizado entre cibercriminosos do leste europeu. Ele foi encontrado em um ataque recente, visando distribuir trojans bancários.

O BlackHole explora falhas de segurança em softwares populares e potencializa o número de novas vítimas e de computadores infectados. Esse fato revela a existência de negociações comerciais, até então desconhecidas, entre cibercriminosos brasileiros e do leste europeu. Em muitos casos, os valores envolvidos podem ser bastante elevados: uma cópia da última versão do BlackHole custa em média U$ 2.500. Os desenvolvedores também alugam ou vendem versões pré-pagas do kit – o aluguel pode sair por U$ 50 por dia de uso.

De acordo com a análise da Kaspersky Lab, o BlackHole agora está sendo usado em ataques no país para promover a instalação de trojans bancários e, assim, roubar usuários dos serviços de internet banking. Essa prática deixa os usuários expostos a mais riscos enquanto navegam, com maior possibilidade de infecção sem que percebam o ataque, geralmente bem elaborados e com baixa taxa de detecção e bloqueio pelas soluções de segurança mais usadas.

No Brasil, os ataques com Blackhole são criados quando os usuários são estimulados pela curiosidade. Um exemplo recentemente identificado foi a técnica de engenharia social, convidando o usuário a clicar e assistir um suposto vídeo da “Juju Panicat”. Ao clicar no link do vídeo, os usuários foram redirecionados para uma página maliciosa hospedada no domínio co.cc, onde os códigos do exploit kit estavam prontos para entrarem em ação, sem que haja nenhuma outra ação do usuário.

A Kaspersly Lab teve acesso ao painel de controle do caso analisado: no momento da análise, 905 computadores estavam infectados, 378 destes no Brasil. Em um único dia o cibercriminoso infectou 171 pessoas.

Usuários de Internet Explorer e Windows XP foram os maiores infectados. Percentualmente, menos de 5% dos usuários do Google Chrome que foram expostos ao golpe foram infectados, contra 23% do Internet Explorer.

A Kaspersly Lab recomenda que os usuários mantenham todos os plugins atualizados: Flash Player, Java e leitor de arquivos PDF. Devido ao grande número de ataques envolvendo o Java, especialistas sugerem que os usuários removam o plugin ou desative-o. 

Mais detalhes sobre os ataques usando exploit kits no Brasil podem ser obtidos aqui.