Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
05/04/2013
Descobrixen una nova APT que monitoritza els clics de ratolí per a no ser detectada
Investigadors del proveïdor de seguretat FireEye han destapat una nova amenaça persistent avançada (APT) que empra nombroses tècniques per a evitar ser detectada, incloent-hi el seguiment dels clics del ratolí, per tal de determinar la interacció humana amb l’ordinador infectat.
Batejada amb el nom de Trojan.APT.Banechant, l’APT es distribuïx a través d’un document de Word amb el nom "Islamic Jihad.doc.", que junt amb un exploit és enviat per correu electrònic a través d’atacs dirigits. “Sospitem que esta APT es va utilitzar per a atacar els governs de l'Orient Mijà i Àsia Central", afirma l’investigador de FireEye, Chong Rong Hwa.
L’atac funciona en múltiples etapes, començant per la descàrrega del document maliciós, la qual executa un component que tracta de determinar si l’entorn de seguretat és un virtualitzat, com un antivirus sandbox o un sistema d’anàlisi de programari maliciós automatitzat, esperant a veure si hi ha alguna activitat del ratolí abans d’iniciar la segona etapa de l’atac. Segons Rong Hwa, la monitorització dels clics del ratolí no és una tècnica d’evasió nova, però el codi maliciós que l’ha utilitzat en el passat generalment controlava un sol clic del ratolí, mentres que BaneChant espera almenys tres clics de ratolí abans de procedir a desxifrar una URL i descarregar un porta de darrere que es fa passar per un arxiu .JPG.
L’APT també empra altres mètodes per a evitar la seua detecció. Per exemple, durant la primera etapa de l’atac, el document maliciós descarrega el component des del servici d’acurtament d’URL ow.ly, per tal d’eludir els servicis de llistes negres d’URL actius en l’ordinador de destí o la seua xarxa. De la mateixa manera, durant la segona fase de l’atac, l’arxiu maliciós. JPG es descarrega des d’una URL generada amb el servici DNS (Domain Name System) dinàmic.
Després de ser carregat pel primer component, l’arxiu .JPG deixa una còpia de si mateix en la carpeta C:\ProgramData\Google2\ amb el nom GoogleUpdate.exe, i també crea un enllaç a l’arxiu en la carpeta d’inici de l’usuari, per tal d’assegurar-ne l'execució després de cada reinici de l’ordinador. Tracta així d’enganyar els usuaris i els fa creure que l’arxiu és part del servici d’actualització de Google.