• Sites Governamentais Brasileiros Comprometidos com Trojan Banker

    Dois sites governamentais brasileiros, foram comprometidos e usados para disseminar malware, desde o dia 24 de abril. Nesse cenário de ameaças, os pesquisadores da TrendLabs descobriram e analisaram um total de 11 arquivos de malware únicos a serem distribuídos a partir destes sites, com nomes de arquivos que normalmente incluem "update", "upgrade", "Adobe", "FlashPlayer" ou combinações dos mesmos. Além dos diferentes nomes usados, essas amostras também têm diferentes domínios a partir dos quais eles podem se conectar para baixar outros arquivos maliciosos, bem como vários servidores de comando e controle (C & C).


    Com base nas estatísticas do Smart Protection Network 2013, 90% dos clientes afetados são do Brasil. Outros países afetados incluem os Estados Unidos e Angola.


    Infection Chain

    De um modo geral, o comportamento destes arquivos maliciosos (detectado como TROJ_BANDROP.ZIP) são semelhantes. Eles deixam dois arquivos, tratando-se de um executável (detectado como TSPY_BANKER.ZIP), e um suposto arquivo GIF (detectado como JAVA_BANKER.ZIP), na pasta temporária do sistema. O arquivo executável modifica o registro do Windows para reduzir as configurações de segurança do sistema, e, finalmente, carrega o arquivo GIF. Esse "arquivo GIF" é na verdade, um arquivo Java, carregado usando o javaw.exe executável, que faz parte do Java Runtime environemnt.

    O JAVA_BANKER.ZIP contém comandos que podem baixar e executar arquivos de várias URLs pré-configuradas. Além disso, todos os arquivos baixados são salvos como % User Profile% \ update.gif (também detectada como JAVA_BANKER.ZIP) e em seguida, é feita a sua execução. Estes arquivos .JAR usam várias bibliotecas de código aberto, como Java Secure Channel (JSch) e Access Native Java (ANJ). Essas bibliotecas e podem ser usadas para operações de rede, em especial, se conectando a um servidor SSH, fazendo redirecionamento de portas, transferência de arquivos, entre outros.

    O comprometimento utilizando sites do governo para entregar o malware não é uma prática incomum. No início deste mês, um site do Departamento do Trabalho dos EUA foi comprometido, e estava propagando um exploit 0-day. Essa tática fornece uma certa alavancagem de engenharia social, como locais relacionados com o governo que são, geralmente, considerados seguros.


    Saiba Mais:

    [1] TrendMicro http://blog.trendmicro.com/trendlabs...ernment-sites/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L