A partir de informações constantes no recente 2H-2013 Targeted Attack Roundup Report, a equipe de segurança da Trend Micro notou a ocorrência de vários ataques relacionados à campanha direcionadas em Taiwan. No momento, os profissionais estão monitorando uma campanha que visa, especificamente, as agências governamentais e administrativas no referido país. Por isso, eles estão nomeando esta campanha específica de PLEAD, por causa das letras dos comandos backdoor emitidos pelo malware relacionado com as atividades nefastas.
O ponto de entrada para esta campanha é através de e-mail. Na mesma, os cybercriminosos ameaçam usar a técnica RTLO (Right to Left Override), a fim de enganar o destinatário alvo em pensar que a extensão do arquivo descompactado não trata-se de um componente suspeito, ou seja, um não executável. Em alguns casos relacionados com a campanha, a técnica RTLO foi implementada corretamente, como foi visto em um caso que teve como alvo um ministério especial em Taiwan.
Quando o anexo .7z estiver descompactado, o destinatário verá dois arquivos, o que parece ser um documento PowerPoint e um arquivo do Microsoft Word. A técnica RTLO, que basicamente se aproveita de um caractere Unicode, criado para dar suporte a idiomas que são escritos da direita para a esquerda, é evidente no primeiro arquivo. Ao introduzir o comando Unicode para RTLO antes do P em PPT, o aparecimento do nome de arquivo completo faz com que pareça que o arquivo é um documento PowerPoint, mesmo que seja, de fato, uma proteção de tela do arquivo.
Dessa forma, o cybercriminoso ameaça incluir um documento adicional chamariz, o segundo arquivo que consta na figura 2, um arquivo DOC., cuja única função é a de aumentar a credibilidade do e-mail.
Vale lembrar que as cargas úteis na campanha PLEAD, são geralmente backdoors que primeiro decifram o seu código e injetam-se em outro processo. A instalação difere de uma amostra para outra, mas geralmente, os backdoors relacionados irão adquirir as seguintes informações do computador da vítima:
- Nome de usuário
- Nome do computador
- Nome do host
- ID do processo Malware
Saiba Mais:
[1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...nt-agencies-2/