• Trojan Android Hand of Thief Linux não Funciona como Prometido

    Pesquisadores da RSA, recentemente, descobriram a existência de um Trojan bancário visando sistemas Linux, que está sendo vendidos on-line por uma equipe ligada ao cibercrime e que tem sua base na Rússia. Apelidado de "Hand of Thief" por seus criadores, o malware tem aparentemente um form grabbing e capacidades de backdoor, além de ser capaz de bloquear o acesso das vítimas aos hosts que oferecem soluções antivírus e atualizações de segurança. Ele também supostamente, funciona em 15 diferentes distribuições Linux e suporta oito diferentes ambientes de trabalho.


    E esses mesmos pesquisadores conseguiram ter acesso ao builder HoT Trojan, permitindo-lhes construir, testar e analisar binários - e o veredito não é bom para o criador, para os vendedores ou mesmo para os compradores. O cavalo de Tróia, executável AOS é um ELF compilado de 32 bits, e como tal, só será executado em versões de 32 bits do sistema operacional Linux (executando HoT em uma máquina de 64 bits, o que exigiria algumas soluções alternativas), disse Yotam Gottesman, um pesquisador sênior da RSA Fraud Action Research Labs a partir de uma explicação postada em um post de blog.


    Incorporação do Arquivo Malicioso

    Quanto ao arquivo de configuração estar em xeque, a diferença entre este malware e outros semelhantes é que o arquivo está incorporado dentro do binário pelo seu construtor - o que significa que, a fim de alterar as informações nele, o botmaster deve construir uma nova versão do binário e atualizar sua botnet a partir dele. O arquivo também é versátil e permite que o botmaster possa fazer uma série de alterações no funcionamento do malware, incluindo a atualização de uma lista de URLs a partir das quais haverá bloqueio de acesso por parte do trojan (por exemplo, sites para baixar as atualizações AV).

    "Esta parte do Trojan, foi descrita com precisão pelo seu fornecedor e confirmada pela análise real do arquivo builder e de configuração", observa Gottesman, e acrescenta que também (como anunciado), o desenvolvedor está trabalhando na implementação do mecanismo web-injection para o Trojan. Mas também, vem a promessa de que mesmo trabalhando em uma variedade de distribuições Linux, ambientes e navegadores, não foi cumprida.


    Mecanismo de Proteção do Sistema Operacional

    Eles tentaram executar o binário em uma certa quantidade de máquinas de teste rodando Fedora 19 e Ubuntu 12.04, e versões padrão do Firefox e do Google Chrome, mas talvez o malware tenha sido capaz de "agarrar" as solicitações de forma indiscriminada, criando rapidamente desordem relacionada ao servidor, ou o malware não funciona em tudo por causa do mecanismo de proteção do sistema operacional. Em uma ocasião, ele ainda mostrou uma tela na máquina infectada - e tudo isso não é muito condizente a uma operação sigilosa e bem sucedida.

    "Embora ele inicialmente parecesse ser um novo operador de Trojan convincente, a análise aprofundada do código prova que é um protótipo mais do que verdadeiro de malware comercialmente viável, chegando aos navegadores nas máquinas infectadas e exibindo enorme incapacidade para ter acesso e roubar dados corretamente. Além disso, HoT também pode ser facilmente removido da máquina, excluindo os arquivos down durante o processo de instalação", ressalta Gottesman.

    Hand of Thief, de acordo com afirmação do seu desenvolvedor, está em fase final de implementação de um mecanismo de web-injection, mas o grabber form que foi projetado para ele, não é funcional em todos os navegadores, pelo menos por enquanto.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/malware_news.php?id=2577

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L