Malware falha em se espalhar por apostar em formato de arquivo raro

Views: 322
0 0
Read Time:1 Minute, 40 Second

Por Felipe Gugelmin

Enquanto a aposta em arquivos com formato raro pode ajudar malwares a escapar de filtros de caixas de e-mail e antivírus, ela também pode impedir que eles atinjam seus objetivos. Uma análise conduzida pela Trustwave descobriu uma ameaça cujo impacto foi bastante diminuído por adotar uma extensão que não consegue ser aberta nativamente pelo Windows.

Segundo os pesquisadores, o malware tentava atingir empresas de entrega e se espalhava através de uma série de e-mails que se diziam associados a faturas ou a recebidos. Ao fazer o download do documento falso, as vítimas traziam a suas máquinas um arquivo no formato .WIM que, ao ser aberto, as infectava.

Imagem: Divulgação/Trustwave

Associados a imagens de disco, arquivos .WIM não se diferem muito daqueles na extensão .ISO, .IMG ou .DAA em sua função. No entanto, o formato se distingue por pode ser aberto nativamente pelo Windows, exigindo o uso de um software adicional — como o 7Zip e o PowerIOS — para ser aberto, o que diminuiu consideravelmente o potencial de destruição do malware.

Formatos incomuns têm vantagens e desvantagens

“Encapsular malware em um formato incomum é uma das maneiras comuns de passar por bloqueios e scanners. No entanto, essa estratégia também apresenta um obstáculo — o sistema-alvo precisa reconhecer o tipo de arquivo ou ao menos ter uma ferramenta que pode descompactar e processar o arquivo”, explica a Trustwave.

Outra desvantagem de apostar em formatos incomuns é que eles trazem mais atenção para a possibilidade de uma tentativa de invasão. Ao perceber que um arquivo não abre, uma possível vítima tende a revisar com mais calma detalhes sobre seu remetente, o que pode levar à descoberta antecipada do golpe.

A análise da companhia de segurança revelou que a ameaça em questão trazia o trojan Agent Tesla, conhecido por sua periculosidade e capacidade de enviar dados roubados por HTTP, SMTP, FTP e pelo Telegram. Além disso, ao infectar uma máquina, a ameaça também podia conceder acesso remoto a um atacante.

FONTE: CANALTECH

POSTS RELACIONADOS