Pesquisadores de uma empresa de segurança, identificaram uma APT
(ameaça avançada persistente) nova que utiliza várias técnicas de evasão
de detecção, incluindo o monitoramento de cliques do mouse, para
determinar a interação humana com o computador infectado.
Chamado de Trojan.APT.BaneChant, o malware é distribuído por meio de
documento do Word (.doc) equipado com um exploit enviado em ataques de
e-mails direcionados (spear phishing). O nome do documento é "Jihad
Islamico.doc".
O ataque funciona em múltiplos estágios. O documento malicioso baixa e
executa um componente que tenta determinar se o ambiente operacional é
virtualizado, como uma sandbox de antivírus ou um sistema de análise
automatizada de malwares, esperando para ver se há alguma atividade do
mouse antes de iniciar o segundo estágio do ataque.
O BaneChant espera por, no mínimo, três cliques antes de prosseguir
com o ataque, decodificando uma URL e baixando um programa backdoor que
se disfarça como um arquivo de imagem JPG, disse.
O malware também emprega outros métodos de evasão de detecção. Por
exemplo, durante a primeira fase do ataque, o documento malicioso baixa o
componente a partir de uma URL "ow.ly". O ow.ly em si não é um domínio
malicioso, mas é um encurtador de endereços. A lógica por trás do uso
deste serviço é contornar as "listas negras" de URLs maliciosas ativas
no computador-alvo ou rede, disse Rong Hwa.
Da mesma forma, durante a segunda fase do ataque, o arquivo malicioso
.jpg é baixado de uma URL gerada com o serviço de DNS (Domain Name
System) dinâmico sem IP fixo.
Após ser carregado pelo primeiro componente, o arquivo JPG despeja
uma cópia de si mesmo chamada "GoogleUpdate.exe" na pasta
"C:\ProgramData\Google2\". Ele também cria um link para o arquivo na
pasta iniciar do usuário, com o objetivo de garantir a sua execução após
cada reinicialização da máquina.
Esta é uma tentativa de enganar os usuários a acreditarem que o
arquivo é parte de uma atualização do Google, um programa legítimo que
normalmente é instalado em "C:\Arquivos de programas\Google\Update\".
O backdoor reúne e baixa informações do sistema e as envia a um
servidor de comando e controle. Ele também suporta vários comandos,
incluindo um para baixar e executar arquivos adicionais nos computadores
infectados. Assim como as tecnologias de defesa, malwares também evoluem.
Neste caso, o código malicioso usa uma série de truques, incluindo
contornar a análise da sandbox por meio da detecção de comportamento
humano, criptografar arquivos executáveis; fuga da análise forense e
evitar a "lista negra" de domínio automatizado usando o redirecionamento
por meio de encurtamento de URL e serviços de DNS dinâmico.
Fonte: IDGNow
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.