• APEC 2013 Summit Serve de Isca para Propagação de E-mails Maliciosos

    Apenas um mês depois da Summit do G20, realizada na Rússia, os protagonistas do cybercrime parecem ter encontrado uma nova ameaça, tirando proveito de um outro evento político de alto nível para alavancar seus esquemas de fraudes e outras práticas criminosas. A APEC 2013 Summit - um encontro anual que reúne os 21 países do Pacífico - na Indonésia, pode ser a isca perfeita para a propagação dos seus e-mails falsos.


    A ameaça chega como um e-mail supostamente do "Media APEC Summit 2013", contendo dois arquivos anexados do Excel. O remetente, mensagem e os destinatários do e-mail, nos levam a crer que esta ameaça é destinada a indivíduos que estariam interessados ​​no evento (participantes e não-participantes). Como mencionado, o e-mail contém dois anexos. Ambos são disfarçados como "lista de mídia APEC"; no entanto, apenas um deles (APEC media list 2013 Part 1) foi encontrado como malicioso.

    O outro arquivo, não-malicioso, serve como um documento chamariz. Com base na análise feita pela Trend Micro, o malware explora uma velha vulnerabilidade existente no Microsoft Office vulnerabilidade ( CVE-2012-0158 ), que também foi explorada em outros ataques direcionados, como a campanha "Safe". Este malware então, desencadeia uma série de múltiplos outros malwares, e se conecta a vários servidores de comando e controle (C & C). Uma vez feito isso, o exploit é liberado e executa o arquivo dw20.t. O referido arquivo é uma espécie de drop-down, que libera outro arquivo em C:\ Arquivos de programas\Internet Explorer\netidt.dll.


    Comunicação com Servidores de Comando & Controle

    Este arquivo também se comunica com servidores específicos de C & C e envia/recebe dados criptografados que contêm informações do sistema e estado de infecção. Isso permite que netidt.dll possa baixar o executável _dwr6093.exe. Este malware é outro drop-down que é liberado e executa downlink.dll. Este último -down leva à carga final ( Netui.dll e detectado como BKDR_SEDNIT.SM), e responsável por sua execução automática (através da criação de entradas de registro autostart).

    O trojan BKDR_SEDNIT.SM rouba informações via logging keystrokes e executa os comandos de seus servidores C & C. Os desenvolvedores nefastos por trás desta ameaça, podem, então, usar o malware para reunir exfiltração de dados importantes, levando a sérias repercussões para as partes visadas.


    Saiba Mais:

    [1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...threat-tricks/

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L