• Word e Excel: Arquivos Infectados Usando Windows PowerShell

    Publicado em 27-03-2014 23:00
    0 Comentários Comentários
    Malware visando as arquivos do Word e do Excel já existem há algum tempo, mas recentemente, os pesquisadores da Trend Micro encontraram uma nova família de malware, CRIGENT (também conhecido como "Worm Power"), que traz diversas novas técnicas a tona. (Os pesquisadores detectaram esses arquivos como W97M_CRIGENT.JER e X97M_CRIGENT.A.). Mais significativamente, ao invés de criar ou incluir o código executável, CRIGENT usa o Windows PowerShell para realizar suas rotinas. PowerShell é uma ferramenta shell / scripting interativa e poderosa, que está disponível para todas as versões atuais do Windows (e é built-in do Windows 7 em diante).



    Scripts PowerShell e Comprometimento de Documentos do Word e Excel
    Nesse contexto, este malware realiza todo o seu comportamento através de scripts PowerShell. Os administradores de TI que estão normalmente à procura de binários maliciosos podem ignorar isso, devido ao malware estar usando esta técnica que não é particularmente comum. Além disso, com a chegada e componentes adicionais, esta ameaça especial chega como um documento do Word ou Excel infectado, o que pode ser deixado por outro malware ou baixado / acessados ​​pelos usuários. Quando o arquivo é aberto, ele faz o download de imediato de componentes adicionais que são dois conhecidos projetos de anonimato on-line: a rede Tor, e Polipo, um cache web/proxy pessoal.

    O atacante disfarçou tanto esses arquivos (alterando o nome do arquivo), e onde eles estão hospedados, escondendo essas informações em registros DNS. Cópias desses arquivos são armazenadas usando legítimas aplicações host cloud (neste caso, Dropbox e OneDrive). Porém, as URLs desses arquivos estavam escondidas em registros DNS. Como isso foi feito?

    Ele teve acesso aos registros de DNS de dois domínios separados, e criou um subdomínio em cada um desses domínios. No entanto, ele não conseguiu apontar os subdomínios para qualquer endereço IP particular. Ao invés disso, ele armazenou texto dentro dos registros DNS e consultou, especificamente, registros em formato TXT (Para fugir de bloqueio de DNS local, foram realizadas essas consultas diretamente aos servidores de DNS público do Google).


    Saiba Mais:

    [1] Security Intelligence http://blog.trendmicro.com/trendlabs...ws-powershell/
    + Enviar Comentário