• Blackhole Exploit Kit (BHEK) Evita Detecção Usando Punycode

    O Blackhole Exploit Kit (BHEK), já assumiu vários disfarces durante as suas atividades. Algumas de suas variantes tem tomado várias formas, tais como avisos prévios falsos a funcionários de banco, atualização de e-mail que supostamente teria sido enviado por um provedor, e-mail como se fosse de uma rede social que a pessoa frequenta, e outras notificações falas. Ultimamente, tem sido vistos uma série de spams que se disfarçam como um aviso da popular cadeia de varejo Walmart; no entanto, esta modalidade de spam oferece algo diferente.


    Nesta campanha, algumas das URLs levam a nomes de domínio que estão em cirílico. Estes domínios foram traduzidos para o alfabeto Inglês através de punycode. Para quem não sabe, Punycode é uma maneira de converter caracteres Unicode em um conjunto de caracteres menores; os URLs em punycode precisam ser decodificados, primeiramente, a fim de ver o seu formato original.

    O uso de nomes de domínios internacionais (IDNs), pode representar adicionais riscos de segurança para os usuários, e esses usuários podem ser redirecionados para uma página de phishing, que parece ter a mesma URL de um site legítimo. Além disso, os IDNs também permitem que spammers possam criar mais domínios de spam, não se limitando a caracteres no idioma Inglês. Isso pode tornar mais difícil, o bloqueio de sites maliciosos.

    Esta técnica não é nova, mas o uso do Punycode em uma campanha de e-mail desencadeada pelo BHEK não é comum. Os usuários que clicam nos links são redirecionados para vários locais, até que eles são levados para o local de hospedagem de um malware (detectado como TROJ_PIDIEF.SMXY ), que explora uma falha no Adobe Reader e Acrobat ( CVE-2009-0924 ) para baixar e executar outros tipos de malware no sistema que está vulnerável.


    Saiba Mais:

    [1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...sing-punycode/

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L