terça-feira, 24 de julho de 2012

Madi Malware - Infecta via Engenharia Social

Depois das descobertas dos malwares Stuxnet e Flame, surge uma nova campanha de ataques de malwares direcionados a alvos especificos (empresas de infra-estrutura, serviços financeiros e embaixadas do governo).

O malware denominado de madi (nome vem do termo mahdi, que significa em
árabe: "O Guiado", é o redentor profetizado do Islã, que permanecerá na Terra por sete, nove ou dezenove anos antes da chegada do dia final), vem se proliferando se utilizando de técnicas de engenharia social.

O malware tenta se proliferar através de arquivos anexos vindos por e-mail, estes anexos vem com um arquivo no formato .ppt (power-point), como sendo um simples arquivo de apresentação de slides.


 Ao executa-lo no sistema, o malware inicia a apresentação com belas imagens e textos:





 

Após a apresentação do segundo slide, o malware se utiliza de um recurso do PowerPoint que permite a execução de arquivos .exe, dentro destes anexos:


Observe na imagem acima, que o Power Point informa ao usuário, sobre o risco da execução deste tipo de arquivo, mas na maioria das vezes, estes avisos são ignorados pelos usuários, possibilitando a infecção e comprometendo todo o sistema.

Ao aceitar a execução do arquivo o malware efetua o download de um arquivo no formato .src:




No Windows o formato (.src) tem o potencial de instalar vírus quando executados. A abertura de qualquer arquivo com o sufixo ".src", vindo por exemplo de um anexo de email, faz com que o Windows execute o arquivo automaticamente — permitindo com qual algum vírus ou malware se instale.


O arquivo acima na realidade é um arquivo executável, que efetua o download de diversos arquivos para o host infectado (Pasta Printhood).



A pasta criada pelo malware (Printhood) contêm diversos arquivos, alguns estão sem conteúdo, outros  no formato UPX e outros no formato .dll indicam o caminho do host, o tipo de arquivo e a extensão:


Possui ainda um arquivo no formato .txt, mahdi.txt, é um arquivo texto codificado contendo a imagem da figura apresentada no download inicial.
Após estes procedimentos, o malware abre um backdoor no host infectado e deixa em execução, um falso arquivo "Update Office", este arquivo é rensponsável por enviar pacotes icmp (ping), para um endereço externo da web:


 

O tráfico web analisado pelo wireshark, apenas conseguiu indentificar requisições para o endereço IP 50.62.12.103, pertencente a um domínio hospedado na Godaddy.com - www.maijakal.in:


Colocando o arquivo para análise do site especializado Virustotal, o malware teve um bom nível de detecção (25/42), pelas ferramentas de antivírus, sendo reportado como Win32.Madi.a:







Nenhum comentário:

Postar um comentário