"Mevade.A" e "Sefnit"
"Uma detecção recente, que tem sido utilizada em relação a este botnet é o "Mevade.A"; mas as referências mais antigas sugerem o nome 'Sefnit' que remonta do ano de 2009, e incluiu também a conectividade via Tor. Além disso, foram encontradas várias referências de que o malware é conhecido, internamente, como SBC para seus operadores", comentou o especialista em segurança Yonathan Klijnsma.
Além disso, seus resultados também já foram confirmados por pesquisadores da Microsoft, que decidiram usar o antigo nome para a ameaça. "Win32/Sefnit é uma família bem conhecida, que inclui um componente capaz de realizar a fraude do clique. A partir de muitas observações feitas na própria natureza de atividades da praga, este componente específico desapareceu perto do final de 2011. Em junho de 2013, foi descoberto um novo componente da tal fraude, que originalmente, foi classificado como Mevade", compartilharam os pesquisadores.
Além disso, Sefnit é realmente formado por três componentes distintos (P2P file sending, Updater and installer, Click fraud), cada um atribuído às suas próprias tarefas. Mas, vem a pergunta: como é que o malware conseguiu passar sob o radar por um ano e meio, não sendo detectado pelas soluções de AV?
Sefnit, Hijacking e "Fraude do Clique"
"A versão antiga do Sefnit está relacionada ao hijacking click, para a realização da famigerada "fraude do clique". Quando um usuário infectado estiver navegando na Internet e clicar em um resultado de busca (como o do Google), de repente os cliques seriam hijackings disfarçados de agências de publicidade com uma webpage semelhante ao destino pretendido", explicam os pesquisadores. Mas isso não era considerado muito furtivo.
Mesmo que o AV não consiga detectar o malware logo no início, os usuários levantariam suspeitas sobre esse comportamento, desconfiando que seu computador tivesse sido infectado e enviassem arquivos de malware suspeitos para pesquisadores e serviços anti-malware. E faz cerca de três meses que os pesquisadores avistaram "Sefnit" novamente - embora fosse toda uma nova família de malware, que eles batizaram de "Medave".
Método Furtivo e Melhor Estrutura nas Investidas
Mas, o que os profissionais de segurança finalmente descobriram é que o novo método, na verdade, é uma versão estratégica e mais discreta do elemento. "O componente chave da fraude do clique, o "Sefnit" agora foi estruturado como um proxy service baseado no projeto 3proxy open-source. O botnet de proxies "Sefnit" utiliza tráfego HTTP para a indução de clicar em anúncios", explicaram os pesquisadores. "Desta forma, a nova versão da praga não deixa rastros para que os usuários identifiquem-no, e possam classificá-lo como uma botnet."
Malware Sefinit e Propagação via Peer-to-peer
Esta nova abordagem - que, dentre outras coisas, incluiu intervalos mais longos com referência a incidentes da fraude do clique - ajudou o malware a passar despercebido pelos usuários, e também permitiu que os donos de botnets pudessem arrecadar dinheiro através de programas de anúncios de afiliados. Vale ressaltar que o cavalo de Tróia "Sefnit" foi flagrado sendo distribuído através de diferentes canais: embalado dentro dos programas aparentemente legítimos, foi oferecido através da rede de arquivos peer-to-peer eMule.
Saiba Mais:
[1] Net Security http://www.net-security.org/malware_news.php?id=2603