terça-feira, 29 de maio de 2012

Falso Aplicativo para o Facebook Infecta PC com Botnet Bredolab


Hoje encontrei em alguns fóruns da web, um possível link para um aplicativo do facebook, o referido aplicativo dizia descobrir quem visualizou suas fotos no seu perfil do facebook:


Efetuei o download do aplicativo e comecei a análise do mesmo, podemos observar que ele vem no formato SFX, um módulo SFX (sigla do inglês SelF-eXtrating) é um arquivo executável (.exe) criado pelo WinRAR a fim de facilitar a descompressão de arquivos. A descompressão se torna mais fácil porque não é necessário nenhum programa para fazer isto, o próprio arquivo já carrega um módulo que faz a descompressão.




Atacantes utilizam este método para camuflar o arquivo tentando torná-lo indetectável pelas ferramentas de antivírus.

Ao executar o arquivo no sistema operacional, o mesmo abre uma janela indicando um erro, no entanto, podemos  observar que ele inicia a execução do arquivo winupdate.exe dentro do sistema (c:\windows\system32).






O malware cria uma pasta oculta nos arquivos temporários do Windows e cria 02 arquivos executáveis (.exe):







Em análise pelo site especializado Vírus Total, ambos os arquivos foram detectados como a botnet BREDOLAB:


Esta botnet já efetuou ataques semelhantes no passado, utilizando-se desta mesma rede social - ZDNET Security


Na análise do tráfego web efetuada pelo wireshark, aparecem requisições para um IP na Palestina, o que reforça a hipotése de ser realmente a comunicação com o BotServer (Servidor da botnet).




Embora tenhamos diversos relatos sobre o desmantelamento desta botnet, inclusive com a prisão e condenação do seu criador, não podemos descartar a hipotése de um destes servidores de controle (Server C&C), estarem ativos e tentando infectar novos hosts.











Nenhum comentário:

Postar um comentário