Zeus disfarça código crucial em fotos

A nova versão, denominada ZeusVM, descarrega para o dispositivo de computação, um ficheiro de configuração contendo os domínios de bancos sobre os quais o malware está instruído para intervir.

Uma variante recém-descoberta do famoso trojan bancário, Zeus, está a disfarçar um código de configuração crucial em fotos digitais, uma técnica semelhante à esteganografia. O malware Zeus é uma das ferramentas mais eficazes para roubar dados bancários online, recolhendo detalhes de autenticação quando uma pessoa acede à sua conta, e depois mascara transferências em paralelo.

A nova versão, denominada ZeusVM, descarrega para o dispositivo de computação um ficheiro de configuração, contém os domínios de bancos sobre os quais o malware está instruído para intervir durante uma transacção, explica Jerome Segura, um investigador sénior de segurança da Malwarebytes. Este diz que o comportamento do software nocivo foi detectado pela primeira vez por um investigador francês de segurança, cuja alcunha é Xilitol.

“O malware estava a recolher uma imagem JPG alojada no mesmo servidor que outros componentes de software nocivo”, escreveu Segura. A esteganografia tem sido muito utilizada por programadores de software nocivo. Ao incorporar o código num formato de ficheiro que parece legítimo, há uma hipótese de escapar no rastreio do software de segurança.

“Do ponto de vista dos gestores de sites, as imagens (especialmente as que podem ser vistas ) parecem inofensivas “, alerta Segura. A imagem suspeita parece ser muito maior comparada com uma  idêntico em modo “bitmap”, diz. Os dados adicionados pelos cibercriminosos foram cifrados usando a codificação Base64 e os algoritmos de encriptação RC4 e XOR.

Quando decifrado, o ficheiro mostra os bancos visados, e estes incluem o Deutsche Bank, o Wells Fargo e o Barclays .




Deixe um comentário

O seu email não será publicado