Todos os posts tagados spyware

Mahdi infeta sistemas informáticos no Irão

Mahdi infeta sistemas informáticos no Irão

Depois do Duqu, Stuxnet, Flame, aparece um novo spyware, que tem como principal alvo o Irão, está a ser trabalho de investigação por parte da Kaspersky e da Seculert (empresa de segurança em Israel).

Mahdi, nome baseado no título de alguns ficheiros encontrados neste malware, faz também referência ao profeta Messias mas na realidade o malware tem como objectivo apenas sacar ficheiros PDF, Excel e documentos Word das máquinas comprometidas. Estes formatos geralmente utilizados para informações confidenciais como por exemplo: mapas, planos, relatórios, etc.).

Este malware, que segundo os especialista não é muito sofisticado, é atualizado via servidores C&C (Command & Control) tanto para inserir novos métodos de invasão como para monitorizar teclas pressionadas e gravar audio.

O grande alvo parece ser o Irão mas já foram encontrados servidores em Israel com o mesmo problema.

O procedimento do Mahdi é muito simples. O utilizador clica num documento ou PDF malicioso, um executável é carregado na máquina deste que posteriormente cria um backdoor. Esse backdoor estabelece uma ligação com um servidor C&C para descarregar outros componentes.

Os temas escolhidos nos documentos/PDFs maliciosos são relacionados com o Islão em forma de vídeos, imagens, screensavers, etc. O objetivo é que o utilizador não perceba que está a ter a máquina comprometida e posteriomente a ser utilizada como máquina zombie para futuras tarefas por parte do Mahdi.

A primeira variante encontrada do Mahdi foi encontrada em dezembro de 2011, mas a data de compilação de alguns ficheiros do malware apontam para uma data de criação de setembro de 2011.

Ainda não existe qualquer referência se este malware foi patrocinado por algum governo. Algumas pistas levam a pensar num vasto investimento e um suporte financeiro considerável.
Será o Mahdi mais uma ferramenta de um governo cujo objetivo é roubar informação confidencial e causar dano em infra-estruturas sensíveis?

Podem acompanhar o desenvolvimento do Mahdi no blogue da Seculert e no blogue da Kaspersky.

Portugal no topo das pesquisas relacionadas com o Antimalware Doctor

De acordo com o Google Insights, Portugal ocupa o 3º lugar de pesquisas de como remover o Antimalware Doctor, o que por sua vez pode significar inúmeras infecções com este malware.

Mas o que é o Antimalware Doctor?
É um programa que se auto-intitula de anti-spyware mas que na realidade é um malware.
Quando instalado, o Antimalware Doctor vai ser configurado para correr quando a vítima efectua o login no Windows. De seguida, vai pesquisar o disco rigido e detectar inúmeras infecções alertando à vitima que, apenas as remove, quando o utilizador comprar a versão completa do programa.
De referir que todas as infecções detectadas são totalmente falsas.
A infecção propriamente dita é realizada pelo próprio Antimalware Doctor.

Este tipo de software malicioso utiliza técnicas de ransomware para convencer a vítima a adquirir e a processar pagamentos para remoção das infecções. Algo que tem sido muito lucrativo para outras campanhas de falsos antivírus.

Como a maioria dos antivírus existentes, pelo menos nas versões gratuitas, não conseguem remover estes softwares maliciosos sem o uso de live CDs, aconselho a instalação da versão gratuita do MalwareBytes.
Também encontrei um guia bastante útil para quem está com dificuldades em remover o Antimalware Doctor.

Dado que o WebSegura está no topo das pesquisas em questões relacionadas com antivírus, fica aqui o alerta e a esperança de ter contribuído com a solução para muitos dos que estão de volta deste problema.

Um agradecimento especial ao @wooshiiricardo pelo link do Google Insights.

Usar o CURL para analisar websites infectados

Excelente artigo publicado no SANS de como usar o comando CURL para visualizar informações de websites comprometidos.
Pessoalmente já tinha realizado, em PHP+CURL, uma aplicação web para verificar código malicioso em websites algo bastante útil para verificar spyware ou malware em websites.

Podem ler o artigo [aqui].

Análise ao email falso da DGCI

Conforme noticiei na secção Curtas, um email anda a circular pela web usando como tema as declarações electrónicas em Portugal. No corpo do email temos três links possivelmente para páginas que foram comprometidas e estão alojar o malware.

Esse mesmo malware apenas é detectado por 6 antivírus (ver [aqui]) até a data deste artigo (quando recebi era FUD). Deixo aqui uma breve análise ao que obtive acerca deste SCAM.

Data do teste: 14 Jan. 2009
Hash do ficheiro .exe: 0xA0037D5F1E68D5531019738B7ABFC239

Ficheiros criados no sistema:

  • C:\Windows\ails+.txt
  • C:\Windows\msapi.cfg
  • C:\Windows\msapi.exe
  • C:\Windows\msapic.exe
  • C:\Windows\mspi.exe

Foram executados os seguintes processos em memória:

  • msapi.exe
  • msapic.exe

Alterações no registo do Windows (regedit):

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • MSapi = “Windows\msapi.exe”

Portas abertas:

  • TCP 1073 (msapi.exe)


O malware por diversas vezes tenta estabelecer uma ligação segura (https) com o portaldasfinancas.gov.pt enviando informação?! para além de tentar descarregar outros três ficheiros (ProjectProduto.exe, C.php, Rayban.exe) de outro website – novidadesloucas.com.br.

Se executou o ficheiro do email, correr um anti-spyware e um antivírus actualizado para prevenir danos maiores.

Actualização:

Situação semelhante está a decorrer nos EUA como podem verificar [aqui].