O objetivo do blog é mesclar artigos técnicos com conteúdo dinâmico, tentando demonstrar de uma forma clara as ameaças existentes na web. Aqui serão abordados assuntos que envolvem análises de incidentes de segurança, softwares e códigos maliciosos.
sexta-feira, 24 de janeiro de 2014
WhatsApp: a bola da vez - parte I
Recentemente, temos observado uma quantidade elevada de emails suspeitos com referência ao aplicativo WhatsApp, semana passada tivemos a ocorrência de emails que chegaram para diversos usuários com uma suposta versão para PC do aplicativo.
Na realidade, trata-se de um trojan (cavalo de Troia) do tipo Banker, o artigo completo sobre o evento acima, pode ser observado com maiores detalhes através do site Techtudo .
Hoje recebi outro email com características suspeitas referente ao aplicativo:
Desta vez, fazendo um alerta ao usuário sobre a confirmação do seu login no WhatsApp, caso o usuário não confirme o login, seu acesso ao aplicativo será bloqueado, ao clicar no link, é efetuado o download do arquivo "www.whatsapp.com":
Em um ambiente de testes, comecei a análise do referido arquivo e...:
Fail..., o artefato malicioso detectou o ambiente virtual, permanecendo inativo e parando o processo de execução, coloquei o arquivo para análise com o software rdg packer:
E foi confirmada a utilização do "packer" Themida, muitos desenvolvedores de malwares utilizam este packer para evitar mecanismos de proteção como antivírus, estes programas tem a função de ofuscar o código malicioso dificultando sua detecção e análise.
Coloquei o referido arquivo para análise através do site especializado Virus Total - VT:
Tendo um nível de detecção muito baixo pelas ferramentas de AV (03/46), na segunda parte deste artigo, tentarei mostrar o processo de quebra do packer e as conexões externas geradas pelo malware.
Até Breve...
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário