Malware TROJ_RODECAP.SM e Técnicas de Spoofing Header

Spoofing, seja ele na forma de DNS, notificação de e-mail legítimo, IP, barra de endereços, é uma parte comum das ameaças constantes existentes na grande rede. Os pesquisadores de segurança da Trend Labs analisaram as suas diversas variações em outra época, mas recentemente descobri ram uma técnica conhecida como Spoofing Header, que dá um toque diferente na detecção de evsão. Uma técnica de Spoofing Header assim pode ser classificada, quando uma URL parece ser baixada a partir de um certo domínio, mas na realidade ele é baixado a partir de um elemento malicioso diferente (o que é bastante provável).


Ao contrário de outros tipos de técnicas de falsificação, esta ação é feita sem qualquer sistema ou modificação do arquivo. Ao invés disso, o spoofing header é realizado através da modificação do pacote de rede, em especial, adicionando o novo domínio para o cabeçalho da solicitação, uma vez que o malware foi conectado ao servidor fazer o envio dos dados. O pesquisador Jessa dela Torre, já havia mencionado esse comportamento em sua pesquisa sobre a botnet StealRat.


Saiba Mais:

[1] Security Intelligence http://blog.trendmicro.com/trendlabs...-intelligence/