7 Elementos de Migração Radicalmente simples OS
Os cibercriminosos frequentemente executar redes de comando e controle de botnets usando servidores ou (menos freqüentemente) uma rede peer-to-peer, mas um bando de golpistas quebrou o molde, administrando um Trojan usando Yahoo webmail.
O recém-descoberto IcoScript Trojan é uma ferramenta de administração remota clássico (RAT), mas o que o torna altamente incomum é o uso de uma conta Yahoo Mail controlado por seus autores para receber instruções. Os comandos são armazenados como e-mails especialmente criados na caixa de entrada da conta.
Paul Rascagneres, pesquisador de segurança da G Data, avalia o malware tenha passado despercebida por dois anos desde 2012. A utilização de serviços de webmail como um mecanismo de comando oferece bandidos uma série de vantagens, de acordo com Rascagneres.
O acesso a serviços de webmail raramente é bloqueado em ambientes corporativos e é muito pouco provável que seja considerado suspeito do trânsito, Rascagneres explica.
E melhor ainda, a natureza modular do malware faz com que seja fácil para os atacantes para mudar para outro serviço de webmail - como Gmail, Facebook ou LinkedIn - para controlar o malware. Todas essas técnicas de comunicação não são susceptíveis de ser bloqueado em ambientes corporativos.
IcoScript usa o componente tecnologia Object Model no Microsoft Windows para controlar o Internet Explorer para fazer solicitações HTTP para serviços remotos. Ele também usa seu próprio tipo de linguagem de script para executar tarefas.
Rascagneres conclui que os atacantes atrás IcoScript entender como as equipes de resposta a incidentes trabalhar, e ter usado esse conhecimento para "fazer a detecção e contenção do malware tanto complicado e caro".
Um papel por Rascagneres sobre o malware IcoScript -. Usando o webmail para controlar malware, e publicado pela Virus Bulletin, pode ser encontrada aqui . ®
Nenhum comentário:
Postar um comentário