Malware camuflat: botneți controlați prin webmail

Articol postat de:

Malware camuflat

O nouă tulpină de malware greu detectabil este capabilă de deturnarea unor portaluri web cunoscute, cum ar fi Yahoo și Gmail, pentru a primi comenzi de control. Ceea ce face troianul IcoScript atât de neobișnuit este faptul că malware-ul utilizează propriul limbaj de programare pentru a se conecta automat la un cont de e-mail. Acel cont a fost creat de către hackeri pentru a lansa comenzi către computerele infectate. Accesul la servicii de webmail este rareori blocat în rețelele companiilor și, prin urmare, troianul poate primi și executa comenzi fără a fi observat. Experții în securitate de la G DATA au numit malware-ul Win32.Trojan.IcoScript.A. O analiză detaliată a fost publicată în revista de specialitate Virus Bulletin.

Trojanul infectează computerele cu sisteme de operare Windows

Malware-ul înșelător, numit Win32.Trojan.IcoScript.A, a cauzat probleme încă din 2012, fără a fi descoperit. Troianul, un sistem modular de administrare de la distanță (RAT), infectează computerele cu Windows. Alte programe malware de acest gen se autoinjectează, de obicei, în procesele aplicațiilor, iar software-ul antivirus nu are nici o problemă în a detecta această metodă. IcoScript, pe de altă parte, abuzează de interfața COM (Component Object Model) pentru a debloca accesul la Internet Explorer. Printre altele, interfața COM permite dezvoltatorilor să scrie plug-in-uri pentru browser. Această funcționalitate pune la dispoziția programatorilor de malware un loc ascuns pentru a compromite browser-ul, fără a fi observat de către utilizator sau de protecția antivirus. Ulterior, datele de pe computer și din rețea arată ca niște date complet normale de navigare. Mai mult decât atât, autorii de malware nu trebuie să-și facă griji cu privire la setările din rețea; ele pot fi acceptate, deoarece au fost configurate în browser. „Acest malware adaptabil și variabil, care încorporează activitățile sale în fluxuri de date regulate, crează dificultăți majore departamentelor de securitate și sistemelor de protecție IT,” spune Ralf Benzmuller, șef al G DATA SecurityLabs. „Malware-ul demonstrează încă o dată cât de bine studiază dezvoltatorii de malware mecanismele de apărare.”

IcoScript utilizează în mod abuziv serviciile de webmail pentru a prelua funcțiile de comandă

IcoScript funcționează prin utilizarea Internet Explorer pentru a abuza de servicii de webmail, cum ar fi Yahoo, pentru a prelua funcțiile sale de comandă și control. În scopul de a accesa e-mail-urile încărcate în căsuța poștală, IcoScript a fost echipat cu propriul său limbaj de programare. Acest lucru îi permite să execute acțiuni automate pe paginile portalurilor web. IcoScript.A realizează acest lucru prin deschiderea portalului de e-mail Yahoo, conectarea la acesta și preluarea e-mail-ului. Caută codul de control al e-mail-ului, care este apoi transmis către programul malware ca o comandă. E-mail-ul poate fi utilizat și pentru a trimite date din rețea.”Acest proces nu este limitat doar la Yahoo, ci poate funcționa la fel de bine pentru numeroase portaluri web, cum ar fi Gmail, Outlook, etc. Chiar LinkedIn, Facebook și alte rețele sociale ar putea fi utilizate în mod abuziv în acest scop,” explică Benzmuller.

Virus Bulletin, o bază solidă în industria de antivirus

Analiza a fost publicată în revista britanică de IT, Virus Bulletin, sub titlul „IcoScript: Utilizarea Webmail-ului pentru a controla malware-ul”. „IcoScript este un malware foarte neobișnuit. Suntem încântați că articolul nostru a fost publicat în această revistă de renume și privim acest lucru ca pe o recunoaștere a cercetăriilor întreprinse de echipa noastră. Virus Bulletin este un element determinant în industria de antivirus în care și-a câștigat o reputație excelentă prin informarea independentă, obiectivă și profesională despre programele malware de-a lungul anilor,” spune Benzmuller.

Sursa foto: www.agora.ro
Sursa articolului: www.agora.ro


Add Comment Register



Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *


*

Poți folosi aceste etichete HTML și atribute: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>