2022/08/29

Malware adia instalação para evitar detecção

Foi detectada uma nova campanha de malware, que instala um cryptominer várias semanas de atraso para dificultar a sua detecção.

Este malware está a ser incluído em apps falsas que se fazem passar pelo Google Translate ou programas para fazer download de MP3, e que inicialmente parecem fazer a função que anunciam, contabilizando já centenas de milhares de downloads. Mas o problema é que estes programas são autênticas bombas-relógio, cujos efeitos só se fazem sentir mais tarde.

Para começar, estes programas são fornecidos como RAR encriptados com password, uma técnica comum para impedir a detecção por parte de sistemas anti-malware. Só ao fim de 5 dias é que o programa faz o download de outro programa, também ele num RAR encriptado, que cria algumas tarefas agendadas, de seguida limpando os logs e auto-eliminando-se. Passados 20 dias, a tarefa agendada descarrega outro programa, num site que se faz passar por actualizações da Intel, e que procura por anti-virus, verifica se está a correr numa máquina virtual (que pode ser sinal de algum investigador a tentar analisar o seu funcionamento), e se tudo estiver dentro dos parâmetros aceitáveis, cria regras na firewall e uma excepção no Windows Defender. Passados alguns dias, liga-se a outro site que se faz passar por um site da Nvidia, para receber instruções e iniciar a sua actividade: minerar criptomoedas usando o computador da vítima.
O simples passo inicial de ser software fornecido num RAR encriptado deveria ser logo suficiente para se manterem afastado dele. Mas, este caso (que seguramente não será o único), demonstra que não se pode confiar num programa só porque nos primeiros dias tudo parece correr bem e sem sintomas adversos. Como se vê, esses sintomas podem apenas começar a fazer-se sentir passadas várias semanas, algo que depois também complica o processo de determiar a origem do problema. Imagine-se que tinham instalado outro programa nos dias anteriores a este malware entrar em acção, o que poderia fazer cair as suspeitas sobre esse programa que tinham instalado, pensando que não teria qualquer relação com o outro programa que tinham instalado há quase um mês.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]