Para fugir da detecção, atualização do malware TrickBot checa até a resolução do seu PC

Views: 339
0 0
Read Time:1 Minute, 46 Second

Os operadores do malware TrickBot lançaram uma atualização no código do programa para criar um mecanismo de interrupção de atividades conforme a resolução do computador invadido. Agora, se o aparelho infectado estiver em resoluções fora não-padrão 800×600 ou 1024×768, a disseminação de suas atividades é interrompida.

De primeira, a variação pode causar um pouco de estranheza, mas o movimento não é de graça. A técnica é uma forma de pressupor se o sistema que está rodando é, na verdade, uma emulação de máquina virtual — que, por padrão, adotam estas dimensões de tela.

Normalmente, máquinas virtuais são utilizadas por grupos de cibersegurança para avaliar o comportamento (e o estrago) de um malware. Ao fazer estas avaliações num ambiente emulado, simulando características como tipos de rede, placas de vídeo e outros componentes, entendendo quais vulnerabilidades são exploradas.

Porém, os cibercriminosos estão cada vez mais cientes de como suas armas são estudadas, e agora, incluíram esta atualização em variações do seu programa malicioso. Agora, linhas de código em JavaScript permitem que o TrickBot descubra se está diante de um computador real ou virtual — e só a partir daí, decide agir de acordo.

TrickBot ou… notícias?

A atualização do TrickBot está em um arquivo “.HTML”, que decodifica o código malicioso e começa a baixar outros malwares. A técnica é conhecida como “contrabando de HTML”, em que uma página web salva é utilizada para operar um código em uma linguagem de programação.

Feito isso, o script verifica se o navegador está usando um renderizador de software, como o SwiftShader, LLVMpipe, ou VirtualBox, o que é costuma ser indicativo de uma máquina emulada.

Segundo o grupo de cibersegurança Cryptolaemus, se o arquivo for aberto em um computador real, a página baixa um arquivo “.ZIP”. No entanto, se o código detectar indícios de uma máquina virtual, ele redireciona o endereço para o site da American Broadcasting Company (ABC).

Entretanto, os especialistas alertam que a atualização do TrickBot não está inaugurando técnica nenhuma, e que, na verdade, os criminosos responsáveis pelo malware roubaram o método de ofuscação.

FONTE: OLHAR DIGITAL

POSTS RELACIONADOS