Esse ano não foi diferente. Com as ameaças que foram descobertas variando desde uma vulnerabilidade Silverlight até campanhas de malware UPATRE. Dessa forma, encontramos também o spam e as práticas de phishing como ameaças habituais que surgiram no último minuto, mesmo após o prazo de entrega de impostos já ter passado.
Silverlight Vulnerability Exploit
Este exploit Silverlight, como o próprio nome sugere, explora a vulnerabilidade (MS13 -022) no Silverlight Could Allow Remote Code Execution (2814124), para executar código malicioso em um sistema por meio de um aplicativo especialmente criado. Deve notar-se que a vulnerabilidade deve ter um ano de idade agora. Este exploit foi encontrado como resultado final de uma série de redirecionamentos de URL, decorrentes de um site que prometia ensinar ao usuário como para evitar o pagamento de imposto de renda no Canadá.
Após a realização de uma análise detalhada, verificou-se que este malware específico (detectado como TROJ_SHESDE.E), que usa o exploit, é bastante semelhante ao já relatado em novembro passado. Além disso, os pesquisadores da Trend Micro também descobriram que, com esta façanha, ele procurou redirecionar os usuários para URLs maliciosas, depois de descobrirem que o malware pode ter sido potencialmente plantado para download automático sobre o sistema da vítima. Em torno deste tempo, também foi visto outro malware que explorou a vulnerabilidade Silverlight da mesma forma, e isso foi detectado pelos pesquisadores como JS_SHESDE.E.
Campanhas de Spam Tax-Themed
A campanha de spam de malware UPATRE, que os profissionais da Trend Micro dectaram durante esse período de declarações e restituições de imposto de renda, não foi diferente daquelas que foram descobertas anteriormente, além do corpo principal de seu texto pedindo a seus leitores que abrissem seu anexo malicioso, a fim de arquivar seus impostos.
Conexão a Links Maliciosos e Liberação de TSPY_ZBOT.YQU
O próprio anexo malicioso, detectado como TROJ_UPATRE.YQU, conecta-se a URLs maliciosos para baixar uma versão criptografada de uma variante ZBOT (TSPY_ZBOT.YQU). Como TSPY_ZBOT.YQU inicia suas rotinas de info-roubo rotinas, também é liberada uma variante RTKT_NECURS, dependendo se o sistema afetado tratar-se de um ambiente de 32 bits ou de 64 bits. Qualquer que seja a variante que ela libera o resultado é o mesmo; ele desabilita os produtos AV instalados no sistema, bem como protege a variante ZBOT que foi liberada, contra qualquer processo de detecção e remoção.
Além disso, também foi descoberta uma campanha de spam email semelhante, ostentando uma variante UPATRE, por volta do fim da temporada de entregas de declarações de imposto de renda, especificamente em torno do dia 15 de Abril, que foi, naturalmente, o prazo para a entrega de todas as declarações de impostos. E mesmo depois disso, ainda foi vista uma campanha de phishing scams - provavelmente como uma manobra de cybercriminosos para aproveitar o prazo que ainda restava para entrega das declarações.
Defesa Contra Ameaças Sazonais
Ameaças sazonais sempre estarão por perto, mas felizmente é fácil de evitar se tornar uma vítima dessas investidas. Uma boa prática e que nunca deve ser esquecida, é manter todo o software em seu sistema atualizado e corrigido para suas versões mais recentes. As mensagens de spam, não importando o assunto ou conteúdo, devem sempre ser excluídas sem ser abertas caso o remetente seja desconhecido ou de origem suspeita. Clientes da Trend Micro estão protegidos contra essas ameaças, devido a todas elas terem sido bloqueadas após a detecção.
Vale lembrar que a ameaça em si, deixou de ter um remetente (nacional) claro. As fronteiras territoriais tornaram-se praticamente insignificantes, da mesma forma que as regras militares de espaço e de tempo. A utilização de aviões civis como instrumentos para cometer um atentado terrorista, demonstrou que praticamente tudo poderia ser transformado em uma arma, em qualquer momento. De repente, quase nada parecia impossível ou impensável.
Saiba Mais:
[1] Blog Trend Micro - Security Intelligence http://blog.trendmicro.com/trendlabs...-intelligence/