Novo malware monitora cliques do mouse para evitar detecção

Pesquisadores de uma empresa de segurança, identificaram uma APT (ameaça avançada persistente) nova que utiliza várias técnicas de evasão de detecção, incluindo o monitoramento de cliques do mouse, para determinar a interação humana com o computador infectado.

Chamado de Trojan.APT.BaneChant, o malware é distribuído por meio de documento do Word (.doc) equipado com um exploit enviado em ataques de e-mails direcionados (spear phishing). O nome do documento é "Jihad Islamico.doc".

O ataque funciona em múltiplos estágios. O documento malicioso baixa e executa um componente que tenta determinar se o ambiente operacional é virtualizado, como uma sandbox de antivírus ou um sistema de análise automatizada de malwares, esperando para ver se há alguma atividade do mouse antes de iniciar o segundo estágio do ataque.

O BaneChant espera por, no mínimo, três cliques antes de prosseguir com o ataque, decodificando uma URL e baixando um programa backdoor que se disfarça como um arquivo de imagem JPG, disse.

O malware também emprega outros métodos de evasão de detecção. Por exemplo, durante a primeira fase do ataque, o documento malicioso baixa o componente a partir de uma URL "ow.ly". O ow.ly em si não é um domínio malicioso, mas é um encurtador de endereços. A lógica por trás do uso deste serviço é contornar as "listas negras" de URLs maliciosas ativas no computador-alvo ou rede, disse Rong Hwa.

Da mesma forma, durante a segunda fase do ataque, o arquivo malicioso .jpg é baixado de uma URL gerada com o serviço de DNS (Domain Name System) dinâmico sem IP fixo.

Após ser carregado pelo primeiro componente, o arquivo JPG despeja uma cópia de si mesmo chamada "GoogleUpdate.exe" na pasta "C:\ProgramData\Google2\". Ele também cria um link para o arquivo na pasta iniciar do usuário, com o objetivo de garantir a sua execução após cada reinicialização da máquina.

Esta é uma tentativa de enganar os usuários a acreditarem que o arquivo é parte de uma atualização do Google, um programa legítimo que normalmente é instalado em "C:\Arquivos de programas\Google\Update\".

O backdoor reúne e baixa informações do sistema e as envia a um servidor de comando e controle. Ele também suporta vários comandos, incluindo um para baixar e executar arquivos adicionais nos computadores infectados. Assim como as tecnologias de defesa, malwares também evoluem.

Neste caso, o código malicioso usa uma série de truques, incluindo contornar a análise da sandbox por meio da detecção de comportamento humano, criptografar arquivos executáveis; fuga da análise forense e evitar a "lista negra" de domínio automatizado usando o redirecionamento por meio de encurtamento de URL e serviços de DNS dinâmico.

Fonte: IDGNow