sexta-feira, 24 de janeiro de 2014

WhatsApp: a bola da vez - parte I



Recentemente, temos observado uma quantidade elevada de emails suspeitos com referência ao aplicativo WhatsApp, semana passada tivemos a ocorrência de emails que chegaram para diversos usuários com uma suposta versão para PC do aplicativo.

Na realidade, trata-se de um trojan (cavalo de Troia) do tipo Banker, o artigo completo sobre o evento acima, pode ser observado com maiores detalhes através do site Techtudo .


Hoje recebi outro email com características suspeitas referente ao aplicativo:
Desta vez, fazendo um alerta ao usuário sobre a confirmação do seu login no WhatsApp, caso o usuário não confirme o login, seu acesso ao aplicativo será bloqueado, ao clicar no link, é efetuado o download do arquivo "www.whatsapp.com":



 Em um ambiente de testes, comecei a análise do referido arquivo e...:


Fail..., o artefato malicioso detectou o ambiente virtual, permanecendo inativo e parando o processo de execução, coloquei o arquivo para análise com o software rdg packer:


E foi confirmada a utilização do "packer" Themida, muitos desenvolvedores de malwares utilizam este packer para evitar mecanismos de proteção como antivírus, estes programas tem a função de ofuscar o código malicioso dificultando sua detecção e análise.

Coloquei o referido arquivo para análise através do site especializado Virus Total - VT:


Tendo um nível de detecção muito baixo pelas ferramentas de AV (03/46), na segunda parte deste artigo, tentarei mostrar o processo de quebra do packer e as conexões externas geradas pelo malware.

Até Breve...

Nenhum comentário:

Postar um comentário