• PLEAD: Pesquisadores da Trend Micro Monitoram Campanha Contra Agências Governamentais em Taiwan

    A partir de informações constantes no recente 2H-2013 Targeted Attack Roundup Report, a equipe de segurança da Trend Micro notou a ocorrência de vários ataques relacionados à campanha direcionadas em Taiwan. No momento, os profissionais estão monitorando uma campanha que visa, especificamente, as agências governamentais e administrativas no referido país. Por isso, eles estão nomeando esta campanha específica de PLEAD, por causa das letras dos comandos backdoor emitidos pelo malware relacionado com as atividades nefastas.

    O ponto de entrada para esta campanha é através de e-mail. Na mesma, os cybercriminosos ameaçam usar a técnica RTLO (Right to Left Override), a fim de enganar o destinatário alvo em pensar que a extensão do arquivo descompactado não trata-se de um componente suspeito, ou seja, um não executável. Em alguns casos relacionados com a campanha, a técnica RTLO foi implementada corretamente, como foi visto em um caso que teve como alvo um ministério especial em Taiwan.


    E-mail enviado ao governo de Taiwan

    Quando o anexo .7z estiver descompactado, o destinatário verá dois arquivos, o que parece ser um documento PowerPoint e um arquivo do Microsoft Word. A técnica RTLO, que basicamente se aproveita de um caractere Unicode, criado para dar suporte a idiomas que são escritos da direita para a esquerda, é evidente no primeiro arquivo. Ao introduzir o comando Unicode para RTLO antes do P em PPT, o aparecimento do nome de arquivo completo faz com que pareça que o arquivo é um documento PowerPoint, mesmo que seja, de fato, uma proteção de tela do arquivo.

    Dessa forma, o cybercriminoso ameaça incluir um documento adicional chamariz, o segundo arquivo que consta na figura 2, um arquivo DOC., cuja única função é a de aumentar a credibilidade do e-mail.



    Vale lembrar que as cargas úteis na campanha PLEAD, são geralmente backdoors que primeiro decifram o seu código e injetam-se em outro processo. A instalação difere de uma amostra para outra, mas geralmente, os backdoors relacionados irão adquirir as seguintes informações do computador da vítima:

    - Nome de usuário
    - Nome do computador
    - Nome do host
    - ID do processo Malware


    Saiba Mais:

    [1] Blog Trend Micro http://blog.trendmicro.com/trendlabs...nt-agencies-2/

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L