Alerta sobre nova onda de Boot Loaders Maliciosos

Os cibercriminosos estão sempre procurando por novas formas de infectar um sistema e remover as proteções de segurança – preferencialmente de uma maneira que o usuÁrio não perceba, até ser tarde demais. A Kaspersky Lab, empresa de segurança da internet, emitiu um alerta sobre o surgimento de novos boot loaders maliciosos, que têm a mesma intenção dos demais: remover softwares de segurança e roubar credenciais bancÁrias.

Esta infecção foi criada exclusivamente para sistemas operacionais que usam o arquivo NTLDR como boot loader, presente nos sistemas Windows XP, Windows Server 2003 e outros mais antigos.  Esta escolha é conivente, considerando que o XP ainda é o sistema operacional mais popular no Brasil (47% do total das mÁquinas).

O arquivo NTLDR (abreviatura de New Technology Loader ou Carregador da Nova Tecnologia) é um componente essencial do Windows responsÁvel pela carga do sistema operacional (boot loader no jargão técnico). Boot loaders permitem, por exemplo, que um computador tenha dois sistemas operacionais diferentes instalados, dando a opção para que o usuÁrio escolha na inicialização qual sistema ele deseja usar. O NTLDR estÁ presente nas versões da família Windows NT incluindo Windows XP e Windows Server 2003. Em geral é executado a partir de uma partição primÁria no disco rígido. Nos sistemas Linux os boot loaders mais conhecidos são o GRUB e o LILO.

Como ocorre a infecção

- Continua após a publicidade -

A infecção começa com o download e a execução de um pequeno arquivo, oferecido através de uma mensagem de e-mail. O arquivo, detectado como Trojan-Downloader.Win32.VB.aoff serÁ responsÁvel por baixar dois novos arquivos para a mÁquina da vítima: xp-msantivirus e xp-msclean. Logo após, ele inutiliza o boot loader legítimo do Windows chamado NTLDR,  renomeando-o para ntldr.old e configurando um novo boot loader malicioso na mÁquina da vítima.

O boot loader malicioso criado por cibercriminosos brasileiros é uma versão modificada do GRUB e estÁ programado para executar o arquivo menu.lst. Depois de ativo o boot loader malicioso irÁ configurar o arquivo menu.lst e o arquivo xp-msantivirus para serem executados durante uma reinicialização do sistema.

Depois da infecção, o Trojan força a mÁquina se reiniciar.

- Continua após a publicidade -

Durante a reinicialização do sistema, o boot loader malicioso executa a remoção de softwares de segurança instalados na mÁquina dos usuÁrios. Entre eles estão o GBPlugin, exigido por vÁrios bancos brasileiros em operações de internet banking. Estima-se que hoje o plugin esteja instalado em mais de 23 milhões de computadores.

Os outros arquivos removidos pelo trojan são os softwares de segurança da Microsoft: o Windows Defender e o Security Essentials.

Para justificar o longo tempo de reinicialização, o boot loader malicioso exibe algumas mensagens falsas, como supostos avisos da Ferramenta de Remoção de Software Malicioso da Microsoft:

E mensagens falsas informando que o sistema estÁ "infectado" e que arquivos "maliciosos" estão sendo "removidos".

Quando a reinicialização termina, a missão do boot loader malicioso estÁ completa, então ele apaga a si mesmo e reativa o NTLDR legítimo. Porém, o trojan bancÁrio detectado como Trojan-Downloader.Win32.Banload.bqmv ficarÁ ativo no computador, esperando o momento oportuno para roubar as credencias bancÁrias da vítima.

Segundo a Kaspersky Lab, todos os trojans que compõem este ataque jÁ são detectados e bloqueados pelos produtos da empresa. O boot loader malicioso é detectado como Trojan.Boot.Burg.a.

Assuntos
Tags
  • Redator: José Hüntemann

    José Hüntemann

    Jornalista formado pela Universidade Federal de Santa Catarina, é fascinado por inovações tecnológicas. Gosta de internet, redes sociais, mobiles e futuro dos vestíveis. Mas o que mais lhe impressiona é a tecnologia que busca melhorar a vida das pessoas e não serve apenas como mero acessório. Nos games, é um zero à esquerda, mas está no pódio no campeonato de Just Dance da redação.

Qual vai ser o melhor game de setembro de 2020?

O que você achou deste conteúdo? Deixe seu comentário abaixo e interaja com nossa equipe. Caso queira sugerir alguma pauta, entre em contato através deste formulário.