Por COMPUTERWORLD

O que primeiro foi reportado como um ataque que atingiu 46 mil pessoas via anúncios maliciosos em portais de emprego, surge como um dos maiores esquemas de roubo de identidade no mundo. De acordo com Amado Hidalgo, analista de segurança da Symantec, um novo trojan chamado Infostealer.Monstres roubou mais de 1,6 milhões de registros pertencentes a centenas de milhares de pessoas que têm currículos no portal de empregos Monster.com.

Os dados estão sendo usados para enviar aos usuários do portal para enviar e-mails de phishing altamente críveis com links para novas pragas a serem baixadas em suas máquinas. “Estamos investigando este Trojan e vamos tomar os passos necessários indicados pela investigação”, disse, por e-mail, o porta-voz da Monster.com Steve Sylven.

As informações pessoais contidas no registro do Monster.com incluem nomes, endereços de e-mail, endereço residencial, número de telefone e números de identificação, relata Hidalgo, que rastreou os dados enviados para um servidor remoto.

O trojan Infostealer.Monstres conseguiu invadir o Monster.com ao usar log-ins legítimos, provavelmente roubado de funcionários que possuem acesso à área do site “Monster for employers”. Uma vez dentro, o cavalo-de-troia realizou buscas automáticas para candidatos trabalhando em certas regiões e com perfis determinados. Os resultados eram enviados para o servidor remoto dos criminosos.

“Uma base de dados com informações tão críticas é o sonho de um spammer”, diz Hidalgo. E é para spam que os criminosos estão usando esses registros de informação.

Os e-mails enviados contam com o malware Banker.c que monitora o PC infectado em busca de conexões para i-banking para gravar o nome de usuário e senha. É enviado também o Gpcoder.e, um trojan que usa criptografia para ‘sequestrar’ arquivos na máquina invadida demandando pagamentos para liberar os dados em questão.

O phishing enviados, para se mostrarem confiáveis, colocam no corpo da mensagem os dados roubados do site da Monster.com, demandando então que seja clicado nos links com as pragas chamado “Monster Job Seeker Tool” ou ferramenta de busca de vagas do Monster.

Outros destaques do COMPUTERWORLD:
> Microsoft entra em segurança: nada será como antes
> Segurança corporativa: código aberto é mais frágil?
> Deixou de ser hacker para virar bancário
> Conheça a história da brasileira Aker e seu firewall
> Nota fiscal eletrônica: duas visões em dois mundos diferentes

De acordo com Hidalgo, o ataque é provavelmente obra de um único grupo. “O modus operandi é muito similar, usando nomes de arquivos idênticos, criando a mesa pasta de sistema, injetando códigos nos mesmos processos e usando as mesmas técnicas de root-kit para obter controle das funções de rede e roubar dados sensíveis”, define.