Primeiro rootkit criado para infectar sistemas de 64 bits, criado por brasileiros
No dia 19 de maio de 2011, a empresa Kaspersky Lab detectou o primeiro rootkit banqueiro para sistemas de 64 bits (windows vista ou superior).
O ataque foi feito através de um applet malicioso, de forma a infectar utilizadores com versões anteriores do Java Runtime Environment (JRE) e também invadia sistemas de 32 bits mesmo feito para arquitetura de 64 bits.
Dentro dele a vários arquivos a ser explorados:
(imagem:Blog do Kaspersky )
Todo o esquema malicioso é simples, mas interessante. O add.reg arquivo irá desativar o UAC (User Access Control) e modifica o Registro do Windows, adicionando CAs falso (Autoridades Certificadoras), na máquina infectada
(imagem: Blog do Kaspersky)
O cert_override.txt arquivo é um falso certificado digital assinado pela AC falsa registrado no sistema. O objetivo principal deste ataque é para redirecionar o usuário para um domínio de phishing. O site falso, então, mostrar um ícone de uma conexão https, simulado para ser a página verdadeira do banco. Este regime de registo de uma CA maliciosos em um sistema infectado tem sido usado por bandidos brasileiros desde o ano passado.
O aaa.bat arquivo será executado e executar o arquivo bcdedit.exe, um instrumento legítimo desenvolvido pela Microsoft com o objetivo de editar a configuração de inicialização do Windows Vista e versões posteriores. Usando esta ferramenta e alguns parâmetros como "DISABLE_INTEGRITY_CHECKS", "TESTSIGNING ON" e "type = iniciar = Erro de inicialização do kernel = normal" os arquivos plusdriver.sys e plusdriver64.sys serão copiados para a pasta de drivers e registrados como motoristas de ativos durante o próxima reinicialização. Esta técnica permite-lhes lançar seu driver sem assinatura legítima.
Depois que eles são registrados, os motoristas mal-intencionado irá executar alguns comandos para alterar o arquivo hosts, adicionando um redirecionamento para um domínio de phishing.
O ataque foi feito através de um applet malicioso, de forma a infectar utilizadores com versões anteriores do Java Runtime Environment (JRE) e também invadia sistemas de 32 bits mesmo feito para arquitetura de 64 bits.
Dentro dele a vários arquivos a ser explorados:
(imagem:Blog do Kaspersky )
Todo o esquema malicioso é simples, mas interessante. O add.reg arquivo irá desativar o UAC (User Access Control) e modifica o Registro do Windows, adicionando CAs falso (Autoridades Certificadoras), na máquina infectada
(imagem: Blog do Kaspersky)
O cert_override.txt arquivo é um falso certificado digital assinado pela AC falsa registrado no sistema. O objetivo principal deste ataque é para redirecionar o usuário para um domínio de phishing. O site falso, então, mostrar um ícone de uma conexão https, simulado para ser a página verdadeira do banco. Este regime de registo de uma CA maliciosos em um sistema infectado tem sido usado por bandidos brasileiros desde o ano passado.
O aaa.bat arquivo será executado e executar o arquivo bcdedit.exe, um instrumento legítimo desenvolvido pela Microsoft com o objetivo de editar a configuração de inicialização do Windows Vista e versões posteriores. Usando esta ferramenta e alguns parâmetros como "DISABLE_INTEGRITY_CHECKS", "TESTSIGNING ON" e "type = iniciar = Erro de inicialização do kernel = normal" os arquivos plusdriver.sys e plusdriver64.sys serão copiados para a pasta de drivers e registrados como motoristas de ativos durante o próxima reinicialização. Esta técnica permite-lhes lançar seu driver sem assinatura legítima.
Depois que eles são registrados, os motoristas mal-intencionado irá executar alguns comandos para alterar o arquivo hosts, adicionando um redirecionamento para um domínio de phishing.
Comentários
Postar um comentário
O que você achou da postagem? Deixe seu comentário!