• Campanha de Spam Entrega Trojan RAT "Ozone"

    Uma campanha de spam recentemente descoberta está sendo direcionada aos usuários de idioma alemão, espalhando documentos Office maliciosos que acabam instalando certificados falsos e uma cópia do RAT Ozone (que é um trojan de acesso remoto). O que é diferente em relação a esta campanha de spam é que ela não entrega documentos do Office no estilo "macro-laced" como a maioria das campanhas de spam nos dias de hoje, mas em compensação, utiliza uma técnica mais antiga que não se vê há algum tempo. O que ele fez é o seguinte: ao invés de pedir aos usuários para ativar o suporte de macros em seus aplicativos do Office, os usuários são orientados a clicar duas vezes em uma thumbnail, que carrega e executa um JavaScript malicioso. A partir da utilização de JavaScript para baixar arquivos PAC, certificados adulterados e RATs, este arquivo JavaScript instala um arquivo local PAC (Proxy Auto-Config) que faz um hijack em configurações de proxy para a Internet e, em seguida, faz o download de um certificado Comodo falsificado, que ele usará para desencadear ataques Man-in-the-Middle (MITM), e mais adiante, para disfarçar e assinar o tráfego malicioso. Além disso, os cybercriminosos também usam uma outra técnica não habitual, fazendo o download do arquivo PAC malicioso de uma URL TOR através de um serviço de proxy Tor2web como onion.to.


    Importante salientar que a última coisa que os JavaScript (downloads de script) não autorizados fazem é uma cópia do RAT Ozone, que apareceu pela primeira vez faz algum tempo e está sendo vendido atualmente on-line por US$ 20 (pacote padrão) ou US$ 50 (pacote platinum). Além do mais, Ozone RAT ajuda os criminosos cibernéticos a se conectar aos seus alvos; eles instalam o RAT no dispositivo do usuário, para que eles possam se conectar à cópia local e assumir o seu "posto de trabalho", ou seja, assumam o comando das atividades em busca de informações valiosas.


    Saiba Mais:

    [1] Softpedia News http://vai.la/nXvq