No ano de 2013, o perigoso malware UPATRE foi descoberto, e considerado como um dos mais inteligentes já vistos no cenário de ameaças e anexados às mensagens de spam. O malware também era conhecido por baixar outros malwares junto com ele (pois praga cibernética quase nunca vem sozinha), incluindo o famoso e temido trojan Zeus e práticas de ransomware, particularmente em sua forma mais sofisticada já vista, conhecido como Cryptolocker. Esta foi uma razão suficiente, para acreditar que a ameaça UPATRE está em constante avanço em suas técnicas, e desta vez, usando vários níveis de anexos.
Spam within Spam
Nesse contexto, os pesquisadores da Trend Micro observaram, fortemente, a nova técnica do malware UPATRE; isso aconteceu quando a pesquisa realizada por eles os levou a uma mensagem spammed, que imita e-mails de bancos muito conhecidos como Lloyds Bank e Wells Fargo. A técnica "spam dentro de spam" já era notável, como o arquivo de MSG. Nesse contexto, havia outro arquivo anexo, o MSG-attached, só que desta vez, o arquivo anexado. na verdade, continha a variante UPATRE, o que os pesquisadores puderam detectar como TROJ_UPATRE.YYKE. Dessa forma, com base na análise que foi realizada , o download do TROJ_UPATRE.YYKE que tem um paralelo com o conhecido trojan ZBOT, foi detectado como TSPY_ZBOT.YYKE.
Esta variante do ZBOT então, faz o download de uma variante chamada NECURS, detectada como RTKT_NECURS.RBC. O malware NECURS é notável por sua carga final, desativando os recursos de segurança dos computadores, colocando computadores em sério risco para novas infecções. Ele ganhou notoriedade em 2012 por seu rootkit no nível do kernel e por suas capacidades de backdoor. Além de tudo isso, é importante notar que agora estamos vendo um aumento na propagação deste malware, que pode ser atribuído à UPATRE / ZBOT sendo distribuídos como anexos de mensagens de spam.
Evolução do Malware UPATRE
UPATRE foi visto pela primeira como um anexo de arquivo de mensagens de spam em outubro do ano passado, após a queda do Blackhole Kit Exploit. Uma vez aberto, ele aciona uma cadeia de infecção envolvendo o trojan ZBOT e o malware CRILOCK. Um mês depois de sua descoberta, os cybercriminosos logo deram inícios às atividades, usando arquivos protegidos por senha como anexos de e-mail. O e-mail inclui a senha, bem como instruções sobre como utilizar o conteúdo do anexo. O uso de senhas é bastante notável, uma vez que ele acrescenta um senso de legitimidade e importância à mensagem em questão.
O processo de evolução de UPATRE, é uma grande prova de que as ameaças vão encontrar novas formas e técnicas para contornar soluções de segurança. Dessa forma, os usuários devem estar sempre em alerta quando se trata de e-mails desconhecidos ou pouco conhecidos, sites ou arquivos. Estes poderiam muito bem levar às ameaças. Além disso, praticar hábitos de segurança como o uso de uma solução de segurança pode ajudar os usuários a proteger seus computadores e os seus dados contra ameaças.
Saiba Mais:
[1] Trend Micro - Security Intelligence http://blog.trendmicro.com/trendlabs...an-attachment/