Novo malware monitora cliques do mouse para evitar detecção

Vírus também usa outras técnicas para não ser identificado por diversos tipos de produtos de segurança, afirmam pesquisadores da FireEye.

Pesquisadores da empresa de segurança FireEye identificaram uma APT (ameaça avançada persistente) nova que utiliza várias técnicas de evasão de detecção, incluindo o monitoramento de cliques do mouse, para determinar a interação humana com o computador infectado.

Chamado de Trojan.APT.BaneChant, o malware é distribuído por meio de documento do Word (.doc) equipado com um exploit enviado em ataques de e-mails direcionados (spear phishing). O nome do documento é “Jihad Islamico.doc”.

“Suspeitamos que este documento-arma foi usado para atacar governos do Oriente Médio e da Ásia Central”, disse o pesquisador da FireEye, Chong Rong Hwa, na segunda-feira (1/4) em um post no blog da empresa.

O ataque funciona em múltiplos estágios. O documento malicioso baixa e executa um componente que tenta determinar se o ambiente operacional é virtualizado, como uma sandbox de antivírus ou um sistema de análise automatizada de malwares, esperando para ver se há alguma atividade do mouse antes de iniciar o segundo estágio do ataque.

O BaneChant espera por, no mínimo, três cliques antes de prosseguir com o ataque, decodificando uma URL e baixando um programa backdoor que se disfarça como um arquivo de imagem JPG, disse.

O malware também emprega outros métodos de evasão de detecção. Por exemplo, durante a primeira fase do ataque, o documento malicioso baixa o componente a partir de uma URL “ow.ly”. O ow.ly em si não é um domínio malicioso, mas é um encurtador de endereços. A lógica por trás do uso deste serviço é contornar as “listas negras” de URLs maliciosas ativas no computador-alvo ou rede, disse Rong Hwa.

Da mesma forma, durante a segunda fase do ataque, o arquivo malicioso .jpg é baixado de uma URL gerada com o serviço de DNS (Domain Name System) dinâmico sem IP fixo.

Após ser carregado pelo primeiro componente, o arquivo JPG despeja uma cópia de si mesmo chamada “GoogleUpdate.exe” na pasta “C:\ProgramData\Google2\”. Ele também cria um link para o arquivo na pasta iniciar do usuário, com o objetivo de garantir a sua execução após cada reinicialização da máquina.

Esta é uma tentativa de enganar os usuários a acreditarem que o arquivo é parte de uma atualização do Google, um programa legítimo que normalmente é instalado em “C:\Arquivos de programas\Google\Update\”, disse Rong Hwa.

O backdoor reúne e baixa informações do sistema e as envia a um servidor de comando e controle. Ele também suporta vários comandos, incluindo um para baixar e executar arquivos adicionais nos computadores infectados.

Assim como as tecnologias de defesa, malwares também evoluem, disse Rong Hwa.

Neste caso, o código malicioso usa uma série de truques, incluindo contornar a análise da sandbox por meio da detecção de comportamento humano, criptografar arquivos executáveis; fuga da análise forense e evitar a “lista negra” de domínio automatizado usando o redirecionamento por meio de encurtamento de URL e serviços de DNS dinâmico.

 

Por IDG Now! – Publicado em 03/04/2013

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s