Scripts PowerShell e Comprometimento de Documentos do Word e Excel
Nesse contexto, este malware realiza todo o seu comportamento através de scripts PowerShell. Os administradores de TI que estão normalmente à procura de binários maliciosos podem ignorar isso, devido ao malware estar usando esta técnica que não é particularmente comum. Além disso, com a chegada e componentes adicionais, esta ameaça especial chega como um documento do Word ou Excel infectado, o que pode ser deixado por outro malware ou baixado / acessados pelos usuários. Quando o arquivo é aberto, ele faz o download de imediato de componentes adicionais que são dois conhecidos projetos de anonimato on-line: a rede Tor, e Polipo, um cache web/proxy pessoal.
Ele teve acesso aos registros de DNS de dois domínios separados, e criou um subdomínio em cada um desses domínios. No entanto, ele não conseguiu apontar os subdomínios para qualquer endereço IP particular. Ao invés disso, ele armazenou texto dentro dos registros DNS e consultou, especificamente, registros em formato TXT (Para fugir de bloqueio de DNS local, foram realizadas essas consultas diretamente aos servidores de DNS público do Google).
Saiba Mais:
[1] Security Intelligence http://blog.trendmicro.com/trendlabs...ws-powershell/