2019/01/24

Malware para Mac escondia endereços maliciosos em imagem


É fascinante ver as formas como os criadores de malware tentam ultrapassar os sistemas de defesa dos vários sistemas, e no caso deste VeryMal que tinha os Macs como alvo, a técnica passava por esconder os endereços maliciosos dentro de uma imagem aparentemente inofensiva.

Embora nem sempre seja fácil detectar conteúdos maliciosos, uma das formas mais fáceis de o fazer consiste em verificar se existem referências a endereços que já tenham sido marcados como maliciosos. Por muito sofisticado que um script malicioso fosse, se lá pelo meio encontrarmos um link para um "site-malvado.com" depressa se descobre que é algo que não queremos executar no nosso computador. Em resposta a isso os atacantes começaram por usar técnicas de obfuscação, em que tentam codificar os endereços de forma a não serem imediatamente visíveis, mas que também começou a ser levado em conta pelos sistemas de protecção dos browsers e anti-malware. E agora, temos este engenhoso VeryMal...

O VeryMal recorre a uma táctica bem criativa para disfarçar o endereço malicioso para onde tenta redireccionar as potenciais vítimas, escondendo-o no interior de uma imagem - naquilo que na prática é conhecido por esteganografia (esconder uma mensagem dentro de outra).

Embora a nível do script propriamente dito não existissem quaisquer referências a sites maliciosos, esse mesmo script tinha a capacidade de pegar na dita imagem e reconverter o valor dos pixeis no endereço alvo para o qual tentava enviar as vítimas - e onde tentariam ser convencidas a descarregar e instalar uma "actualização do Flash" que era o malware propriamente dito.

... Já nem sequer podemos confiar nas imagens que os nossos browsers apresentam! :)

2 comentários:

  1. "... e onde tentariam ser convencidas a descarregar e instalar uma "actualização do Flash"

    Eh pá, que coisa mais tosca.

    ResponderEliminar
  2. Flash em Mac? Só mesmo p'a toscos! E toscos não merecem ter Macs!

    ResponderEliminar