Hackers brasileiros estão usando técnicas avançadas para esconder malware
Em meados de novembro, o time latino-americano do GReAT (Global Research and Analysis Team), da Kaspersky Lab, identificou um conjunto interessante de trojans (programa malicioso que rouba dados financeiros) utilizando uma técnica chamada ciframento em bloco (block cipher). Para Dmitry Bestuzhev, diretor do Great para a América Latina, esta é a primeira vez que a criptografia de dados é utilizada na região no desenvolvimento de malware. Até então, os códigos maliciosos brasileiros eram considerados simples em comparação com malware de outras partes do planeta. O uso do block cipher por cibercriminosos demonstra que o golpes virtuais estão ficando mais sofisticados no Brasil.
Para o usuário final, a nova técnica passa despercebida. O golpe chega por meio de uma mensagem de scan phishing que, ao invés de direcionar o usuário para uma página de banco falsa, solicita a instalação de um programa para acessar a conta bancaria. Logicamente, o link contido na mensagem leva para um arquivo malicioso e infectará o usuário se executado. Por outro lado, o block cipher é extremamente eficaz para manter o golpe ativo por mais tempo. Basicamente, esta técnica criptografa grupos de bits, usando uma chave para decifrá-los.
Além disso, o golpe utiliza ainda a técnica de esteganografia, que neste caso foi utilizada para esconder os trojans dentro de arquivos de imagem JPG. Segundo Bestuzhev, esta técnica soluciona três problemas. Com esta técnica os cibercriminosos podem:
· Enganar os sistemas de análise automática de malwares, fazendo com que o malware passe como uma simples imagem.
· Confundir os administradores de redes corporativas, que provavelmente não serão capazes de identificar o golpe e manterão arquivos maliciosos ativos (online) por mais tempo.
· Driblar os analistas de malware que não tenham o conhecimento necessário para lidar com este tipo de programa.
“Temos observado que os criadores de vírus por trás deste ataque estão disseminando o golpe a cada 2 dias. Até o momento, o algoritmo de criptografia foi o mesmo, mas tenho certeza que ele será alterado após nossa divulgação”, afirma o especialista da Kaspersky Lab.
Confira mais detalhes técnicos no post http://www.securelist.com/en/blog/208193235/Steganography_or_encrypti (conteúdo em inglês).
Nenhum comentário:
Postar um comentário