RAT WARS 2.0: Técnicas Avançadas para Detecção de RAT Screen Control

No cenário malicioso da Web, os trojans de administração remota (RATs), não aparecem como uma nova tendência, mas seu uso ainda é forte e continua sendo crescente. Na sua essência, um RAT é uma instalação de um backdoor, que é usada para permitir que um atacante possa entrar despercebido no computador da vítima, com a intenção de controlá-lo remotamente: por exemplo, a maioria dos trojan bancários de hoje em dia estão usando módulos de desktop remoto para abrir um canal VNC/RDP, para permitir que um invasor possa "exfiltrar" o dinheiro a partir do navegador dos usuários, quando este estiver em sua sessão de Internet Banking. E todos sabem que para acessar o serviço, é exigido a inserção de login e senha. Em meio a isso, tipos de malware mais sofisticados como é o caso do Dyre, intensificam as atividades por completo desviando o usuário para portais bancários falsificados, mantendo a as suas sessões de login ativas; e uma vez que o usuário tenha divulgado as credenciais necessárias, o atacante se conectará à máquina do usuário através de um canal de desktop remoto, e dessa maneira, irá executar a fraude eletrônica, passando de forma desapercebida.


Ressaltando que o ataque normal é composto por duas fases. A primeira etapa é quando um usuário infectado pelo trojan Dyre digita a URL do site de banco dentro do navegador, e a solicitação é intermediada por proxy pelo malware. A partir daí, há o direcionamento a um site falso que é idêntico ao website do banco. Nos "bastidores", Dyre mantem aberta a sessão bancária verdadeira. A segunda da investida, acontece assim que o atacante recebe uma notificação automática com dados de sessão do usuário, e um retorno de chamada VNC a um servidor de terminal protegido. Ele então começa a interagir com o usuário, enviando a ele perguntas desafiadoras, páginas falsas e campo de login falsos para para o mesmo.


Saiba Mais:

[1] Minded Security http://blog.mindedsecurity.com/2016/...iques-for.html