Detecção de Família de Malware Intitulada "Spymel"

No final de dezembro de 2015, especialistas em segurança da Zscaler ThreatLabs detectaram uma nova família de malware que foi apelidada de infostealer Spymel. Essa praga age usando certificados roubados para evitar a detecção através de mecanismos de segurança. Os autores desse trojan estão usando certificados digitais comprometidos para evitar a detecção. A família de malware, que neste caso é a do Trojan Spymel (especialista em roubo de informações confidenciais), envolveu um executável .NET assinado com um legítimo certificado emitido pela DigiCert. A primeira versão do Spymel Trojan analisada ​​pelos especialistas da Zscaler, tinha sido assinada com um certificado emitido pelo DigiCert que já foi revogado. Entretanto, especialistas já descobriram que há uma variante mais recente assinada com um certificado digital emitido por DigiCert a SBO INVEST.


Os criminosos cibernéticos por trás da ameaça distribuíram o Spymel Trojan através de e-mails spam, contendo um arquivo ZIP que contém um arquivo JavaScript que é usado como um downloader. O arquivo JavaScript faz o download do Trojan Spymel a partir de um servidor remoto e instala em sistemas infectados. Além de tudo, o arquivo JavaScript malicioso, surpreendentemente, neste caso não é ofuscado e fácil de ler. O executável Trojan Spymel é baixado a partir de um local remoto codificado no JavaScript.


Saiba Mais:

[1] Security Affairs http://securityaffairs.co/wordpress/...gned-code.html