Uma força policial internacional persegue um criminoso, que se transforma diante dos seus olhos e foge precisamente quando parece que está prestes a ser capturado. Não estamos a falar de Mystique, dos X-Men, mas de um perigoso vírus informático agora neutralizado.
O vírus Beebone, recentemente desactivado pelo FBI e pela União Europeia, alterava a sua identidade até 19 vezes por dia.
No seu auge, em setembro de 2014, o malware controlava até 100 mil computadores diariamente.
Os criminosos utilizavam-no para roubar passwords e fazer download de outros programas, que por sua vez infectavam os computadores afectados.
As autoridades pediram já às cerca de 12 mil vítimas do vírus que descarreguem agora e usem novas ferramentas, desenvolvidas para remover o vírus e limpar os computadores afectados.
Altamente sofisticado
Uma vez no computador da vítima, o Beebone opera como uma aplicação de downloads, que pode ser controlada remotamente pelos criminosos, escondidos por trás do programa.
O vírus foi utilizado para forçar os sistemas infectados descarregar e instalar da Internet outros malwares, cada um mais destruidor que o anterior.
Alguns destes malwares roubavam passwords, outros bloqueavam ficheiros sensíveis e pediam um resgate para os libertar. Outros, conhecidos como rootkits, acediam secretamente a informação do computador, ou deitar abaixo sites de empresas e instituições.
A empresa de segurança em informática Intel Security, que ajudou a polícia a neutralizar o malware, diz ter visto o Beebone mudar de identidade até 19 vezes por dia, para iludir os métodos anti-virais tradicionais.
“O Beebone é altamente sofisticado. Muda regularmente o seu identificador único, faz download de novas versões de si próprio, e pode mesmo detectar quando está a ser isolado, estudado ou atacado”, explica à BBC Raj Samani, director de tecnologia da empresa.
“Este vírus conseguia bloquear com sucesso as tentativas de o destruir”, assegura Samani.
Operação Beebone
A Operação Beebone foi levada a cabo pela Força de Acção Conjunta contra o crime cibernético, estabelecida pela União Europeia para combater o crime internacional na internet.
A equipa conseguiu neutralizar o vírus, evitando que ele se ligasse aos servidores que usava para controlar e enviar instruções aos computadores infectados.
Quase 100 domínios .com, .net e .org foram neutralizados utilizando uma técnica denominada “sinkhole“, um processo pelo qual o tráfico destinado a IPs específicos é redireccionado desde o ponto controlado pelos criminosos até ao ponto controlado pelas autoridades.
Isso permite aos investigadores ver como se comporta a aplicação e interceptar, assim, pedidos de novas instruções do malware.
O FBI colaborou na operação, redirecionando o tráfego da maioria dos endereços web usados pelos criminosos, que operavam sob a jurisdição dos Estados Unidos.
Na operação, participaram também empresas privadas como a Intel Security, a Kaspersky e a Shadowserver.
Vários especialistas em segurança consideram que as consequências do ataque podiam ter sido muito piores.
Segundo o chefe de operações do Centro Europeu contra o crime cibernético, Paul Gillen, a agência vai analisar agora se é possível identificar os responsáveis pelos ataques, e levá-los à Justiça.
ZAP / BBC
