KIVARS: Amostra de Malware Aperfeiçoada para Atacar Sistemas de 64-bit

Cada vez mais, uma quantidade maior de amostras de malware tornou-se capaz de atingir os usuários que executam versões de sistemas operacionais de 64 bits. Uma dessas amostras é o KIVARS, uma amostra de malware cuja versão para arquiteturas de 64-bit foi, recentemente, analisada por um grupo de pesquisadores da Trend Micro. De acordo com a empresa de segurança, o trojan é distribuído com o auxílio do TROJ_FAKEWORD.A, um dropper que foi especialmente projetado para liberar dois arquivos executáveis, ​​e de um documento do Microsoft Word em sistemas infectados.

Na versão de 32-bit, os arquivos executáveis ​​são copiados para a pasta "windows system" com os nomes iprips.dll, que foi detectado pela Trend Micro como TROJ_KIVARSLDR e winbs2.dll, detectados como BKDR_KIVARS. As últimas versões do KIVARS, que pode ter como alvo os sistemas de 32-bit e 64-bit, libera esses componentes na mesma pasta mas sob um nome aleatório, com ambos contendo arquivo backdoor.

Além disso, o dropper usa o override a partir da técnica right to left (OFR), ícone legítimo do Microsoft Word para fazer parecer que o arquivo do documento, que é protegido por senha e funciona como um chamariz, não trata-se de elemento malicioso. Essas técnicas também têm sido utilizados em uma campanha direcionada a agências do governo de Taiwan, que a Trend Micro recentemente, detectou e analisou faz algumas semanas​​.


Saiba Mais:

[1] Security Week http://www.securityweek.com/enhanced...ek+RSS+Feed%29