Chamado de Trojan.APT.BaneChant, o malware é distribuído por meio de documento do Word (.doc) equipado com um exploit enviado em ataques de e-mails direcionados (spear phishing). O nome do documento é "Jihad Islamico.doc".
"Suspeitamos que este documento-arma foi usado para atacar governos do Oriente Médio e da Ásia Central", disse o pesquisador da FireEye, Chong Rong Hwa, em um post no blog da empresa.
O ataque funciona em múltiplos estágios. O documento malicioso baixa e executa um componente que tenta determinar se o ambiente operacional é virtualizado, como uma sandbox de antivírus ou um sistema de análise automatizada de malwares, esperando para ver se há alguma atividade do mouse antes de iniciar o segundo estágio do ataque.
O BaneChant espera por, no mínimo, três cliques antes de prosseguir com o ataque, decodificando uma URL e baixando um programa backdoor que se disfarça como um arquivo de imagem JPG, disse.
O malware também emprega outros métodos de evasão de detecção. Por exemplo, durante a primeira fase do ataque, o documento malicioso baixa o componente a partir de uma URL "ow.ly". O ow.ly em si não é um domínio malicioso, mas é um encurtador de endereços. A lógica por trás do uso deste serviço é contornar as "listas negras" de URLs maliciosas ativas no computador-alvo ou rede, disse Rong Hwa.
Da mesma forma, durante a segunda fase do ataque, o arquivo malicioso .jpg é baixado de uma URL gerada com o serviço de DNS (Domain Name System) dinâmico sem IP fixo.
Após ser carregado pelo primeiro componente, o arquivo JPG despeja uma cópia de si mesmo chamada "GoogleUpdate.exe" na pasta "C:\ProgramData\Google2\". Ele também cria um link para o arquivo na pasta iniciar do usuário, com o objetivo de garantir a sua execução após cada reinicialização da máquina.
Esta é uma tentativa de enganar os usuários a acreditarem que o arquivo é parte de uma atualização do Google, um programa legítimo que normalmente é instalado em "C:\Arquivos de programas\Google\Update\", disse Rong Hwa.
O backdoor reúne e baixa informações do sistema e as envia a um servidor de comando e controle. Ele também suporta vários comandos, incluindo um para baixar e executar arquivos adicionais nos computadores infectados.
Assim como as tecnologias de defesa, malwares também evoluem, disse Rong Hwa.
Neste caso, o código malicioso usa uma série de truques, incluindo contornar a análise da sandbox por meio da detecção de comportamento humano, criptografar arquivos executáveis; fuga da análise forense e evitar a "lista negra" de domínio automatizado usando o redirecionamento por meio de encurtamento de URL e serviços de DNS dinâmico.
(IDGNOW)
0 Comentários
Olá, agradecemos sua visita. Abraço.