Hoje encontrei em alguns fóruns da web, um possível link para um aplicativo do facebook, o referido aplicativo dizia descobrir quem visualizou suas fotos no seu perfil do facebook:
Efetuei o download do aplicativo e comecei a análise do mesmo, podemos observar que ele vem no formato SFX, um módulo SFX (sigla do inglês SelF-eXtrating) é um arquivo executável (.exe) criado pelo WinRAR a fim de facilitar a descompressão de arquivos. A descompressão se torna mais fácil porque não é necessário nenhum programa para fazer isto, o próprio arquivo já carrega um módulo que faz a descompressão.
Atacantes utilizam este método para camuflar o arquivo tentando torná-lo indetectável pelas ferramentas de antivírus.
Ao executar o arquivo no sistema operacional, o mesmo abre uma janela indicando um erro, no entanto, podemos observar que ele inicia a execução do arquivo winupdate.exe dentro do sistema (c:\windows\system32).
O malware cria uma pasta oculta nos arquivos temporários do Windows e cria 02 arquivos executáveis (.exe):
Em análise pelo site especializado Vírus Total, ambos os arquivos foram detectados como a botnet BREDOLAB:
Esta botnet já efetuou ataques semelhantes no passado, utilizando-se desta mesma rede social - ZDNET Security
Na análise do tráfego web efetuada pelo wireshark, aparecem requisições para um IP na Palestina, o que reforça a hipotése de ser realmente a comunicação com o BotServer (Servidor da botnet).
Embora tenhamos diversos relatos sobre o desmantelamento desta botnet, inclusive com a prisão e condenação do seu criador, não podemos descartar a hipotése de um destes servidores de controle (Server C&C), estarem ativos e tentando infectar novos hosts.
Nenhum comentário:
Postar um comentário