• Plataforma de Malware Financeiro "Shylock" Continua Evoluindo

    Shylock é uma plataforma de malware financeiro, que foi descoberta pela Trusteer em 2011. Como a maioria das cepas de malware, Shylock continua a evoluir, a fim de evitar sua detecção e identificação através de novas tecnologias defensivas, postas em prática por instituições financeiras e empresas. Ao analisar um droper, a especialista em segurança Trusteer, recentemente notou que Shylock está utilizando um novo truque para evitar a sua detecção; ou seja, ela evita ambientes de desktop remotos, devido à uma configuração comumente utilizada por pesquisadores durante suas análises de malware.

    Amostras de malware suspeitas são coletadas para análise, e muitas vezes colocadas em máquinas que estão isoladas em um centro de operações ("lab"). Ao invés de sentar na frente de um rack de máquinas físicas em um cold basement lab, os pesquisadores utilizam conexões de desktop remoto para estudar o malware a partir da comodidade e do conforto de seus escritórios. É exatamente essa fraqueza humana que o malware Shylock vem explorando.


    Shylock continua evoluindo e driblando os mecanismos tecnológicos defensivos para sua detecção e identificação


    Neste último droper, Shylock reconhece um ambiente de desktop remoto, alimentação de dados inválidos em uma certa rotina e depois observa o código de erro retornado. Ele usa esse código de retorno para diferenciar ambientes desktops normais e outros ambientes de "laboratório". Em particular, quando executado a partir de uma sessão de desktop remoto, o código de retorno será diferente e Shylock não será instalado. É possível utilizar este método para identificar outros ambientes virtuais assim como sandboxes.

    Para uma orientação mais técnica, segue o seguinte detalhamento comportamental de Shylock: o droper carrega, de forma dinâmica, a função winscard.dll e chama SCardForgetReaderGroupA (0, 0). O malware continua como esperado somente se o valor de retorno for 0x80100011 (SCARD_E_INVALID_VALUE) ou 0x2 (ERROR_FILE_NOT_FOUND). A Trusteer percebeu o seguinte: quando o droper é executado localmente, o valor de retorno é 0x80100011, mas quando ele é executado a partir de uma sessão de desktop remoto, o valor de retorno é 0x80100004 (SCARD_E_INVALID_PARAMETER).


    Saiba Mais:

    [1] Help Net Security - Malware News http://www.net-security.org/malware_news.php?id=2339

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L