É fascinante ver as formas como os criadores de malware tentam ultrapassar os sistemas de defesa dos vários sistemas, e no caso deste VeryMal que tinha os Macs como alvo, a técnica passava por esconder os endereços maliciosos dentro de uma imagem aparentemente inofensiva.
Embora nem sempre seja fácil detectar conteúdos maliciosos, uma das formas mais fáceis de o fazer consiste em verificar se existem referências a endereços que já tenham sido marcados como maliciosos. Por muito sofisticado que um script malicioso fosse, se lá pelo meio encontrarmos um link para um "site-malvado.com" depressa se descobre que é algo que não queremos executar no nosso computador. Em resposta a isso os atacantes começaram por usar técnicas de obfuscação, em que tentam codificar os endereços de forma a não serem imediatamente visíveis, mas que também começou a ser levado em conta pelos sistemas de protecção dos browsers e anti-malware. E agora, temos este engenhoso VeryMal...
O VeryMal recorre a uma táctica bem criativa para disfarçar o endereço malicioso para onde tenta redireccionar as potenciais vítimas, escondendo-o no interior de uma imagem - naquilo que na prática é conhecido por esteganografia (esconder uma mensagem dentro de outra).
Embora a nível do script propriamente dito não existissem quaisquer referências a sites maliciosos, esse mesmo script tinha a capacidade de pegar na dita imagem e reconverter o valor dos pixeis no endereço alvo para o qual tentava enviar as vítimas - e onde tentariam ser convencidas a descarregar e instalar uma "actualização do Flash" que era o malware propriamente dito.
... Já nem sequer podemos confiar nas imagens que os nossos browsers apresentam! :)
"... e onde tentariam ser convencidas a descarregar e instalar uma "actualização do Flash"
ResponderEliminarEh pá, que coisa mais tosca.
Flash em Mac? Só mesmo p'a toscos! E toscos não merecem ter Macs!
ResponderEliminar