Com base nas estatísticas do Smart Protection Network 2013, 90% dos clientes afetados são do Brasil. Outros países afetados incluem os Estados Unidos e Angola.
Infection Chain
De um modo geral, o comportamento destes arquivos maliciosos (detectado como TROJ_BANDROP.ZIP) são semelhantes. Eles deixam dois arquivos, tratando-se de um executável (detectado como TSPY_BANKER.ZIP), e um suposto arquivo GIF (detectado como JAVA_BANKER.ZIP), na pasta temporária do sistema. O arquivo executável modifica o registro do Windows para reduzir as configurações de segurança do sistema, e, finalmente, carrega o arquivo GIF. Esse "arquivo GIF" é na verdade, um arquivo Java, carregado usando o javaw.exe executável, que faz parte do Java Runtime environemnt.
O JAVA_BANKER.ZIP contém comandos que podem baixar e executar arquivos de várias URLs pré-configuradas. Além disso, todos os arquivos baixados são salvos como % User Profile% \ update.gif (também detectada como JAVA_BANKER.ZIP) e em seguida, é feita a sua execução. Estes arquivos .JAR usam várias bibliotecas de código aberto, como Java Secure Channel (JSch) e Access Native Java (ANJ). Essas bibliotecas e podem ser usadas para operações de rede, em especial, se conectando a um servidor SSH, fazendo redirecionamento de portas, transferência de arquivos, entre outros.
O comprometimento utilizando sites do governo para entregar o malware não é uma prática incomum. No início deste mês, um site do Departamento do Trabalho dos EUA foi comprometido, e estava propagando um exploit 0-day. Essa tática fornece uma certa alavancagem de engenharia social, como locais relacionados com o governo que são, geralmente, considerados seguros.
Saiba Mais:
[1] TrendMicro http://blog.trendmicro.com/trendlabs...ernment-sites/