Logo
Imprimir esta página

Novo cavalo de tróia assombra usuários e empresas brasileiras

Por *Pedro Barreto

Uma nova ameaça foi descoberta recentemente por mim e pelo time. Ela chegou ao computador do usuário por meio de download, no momento que acessou um website legítimo em WordPress, porém comprometido. Sem desconfiar dos riscos, a vítima foi solicitada a atualizar o java e após iniciar a suposta atualização foi direcionada para o download de um executável hospedado no Google Drive.

O arquivo baixado nada mais é que um dropper (cavalo de tróia), tipo de malware que nem sempre executa ações maliciosas, sua essência é instalar/baixar/executar outros códigos, que de fato possuem as rotinas que causam algum tipo de dano.

Ainda sobre esse cavalo de tróia, verificamos que durante sua execução é exibida uma tela idêntica à de instalação do java, que começa baixando um script malicioso, o python e diversos módulos que serão utilizados posteriormente, em seguida adiciona persistência (auto inicialização) e reinicia o computador para então entrar em atividade.

Uma característica interessante sobre o dropper é que, mesmo após quase 30 dias depois da sua descoberta, permanecia com uma baixa taxa de detecção em relação à maioria dos antivírus de mercado. Outro ponto a ser destacado é que há diversos comentários em português no script, podendo indicar ser um malware brasileiro. Esta última informação é reforçada pelo fato dos alvos serem domínios brasileiros em sua grande maioria.

Caso o malware infecte ambientes de empresas, o comportamento da ameaça poderá negativar a reputação do IP corporativo, causando impacto ao negócio, uma vez que diversas soluções de segurança de perímetro, por exemplo, consultam backlists e bloqueiam qualquer tráfego com IP’s que constem nestas listas.

Podemos concluir também que não se trata de um ameaça direcionada a um nicho de mercado e que o provável propósito do atacante é usar infraestrutura de terceiros para obter acessos privilegiados em sistemas que estejam mal configurados e possuem senhas fracas, usando tais informações para obter ganho financeiro, seja na venda das informações no mercado negro ou extorsão de empresas através de vazamento de dados.

No geral, é imprescindível investir em prevenção, seja na aquisição de soluções de segurança, seja na criação de rotinas proativas de revisão de configuração e boas práticas para administração das soluções. Além disso, é importante fazer um monitoramento de segurança contínuo, criar/atualizar controles, ter equipes especializadas, inclusive na Resposta a Incidentes de Segurança. Estas ações reduzem significativamente o número de incidentes mais complexos, reduzem custo com recuperação de incidentes e principalmente o impacto ao negócio.

Prevenir é sempre um bom caminho!

Autor: *Pedro Barreto é pesquisador e incident responder na Real Protect.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Copyright Clipping ©2002-2025 - SEGS Portal Nacional de Seguros, Saúde, Veículos, Informática, Info, Ti, Educação, Eventos, Agronegócio, Economia, Turismo, Viagens, Vagas, Agro e Entretenimento. - Todos os direitos reservados.- www.SEGS.com.br - IMPORTANTE:: Antes de Usar o Segs, Leia Todos os Termos de Uso.
SEGS é compatível com Browsers Google Chrome, Firefox, Opera, Psafe, Safari, Edge, Internet Explorer 11 - (At: Não use Internet Explorer 10 ou anteriores, além de não ter segurança em seu PC, o SEGS é incompatível)
Por Maior Velocidade e Mais Segurança, ABRA - AQUI E ATUALIZE o seu NAVEGADOR(Browser) é Gratuíto