sábado, 5 de fevereiro de 2011

Novo worm no Twitter redireciona para para falso antivírus

Olá pessoal!

Vimos um artigo muito importante que fala sobre uma nova espécie de vírus que está se alastrando no Twitter e decidimos postar aqui para vocês. Fiquem atentos para não cair nessa armadilha.

Um novo worm está se espalhando rapidamente no Twitter por meio do serviço de encurtamento de URLs do Google, o “goo.gl”, para distribuir links maliciosos. As mensagens no microblogging apresentam apenas um link, sem texto algum. Quem faz o alerta é Nico Brulez, especialista da Kaspersky Lab.

O link malicioso leva para vários direcionamentos, descritos abaixo. Esses redirecionamentos em cadeia levam os usuários do Twitter que clicaram na URL para uma página que sugere a instalação do “Security Shield”, um famoso scareware conhecido como Rogue AV, ou seja, um falso antivírus. A pagina, que utiliza a mesma técnica de ofuscamento da sua versão anterior (Security Tool), tem como objetivo dificultar a identificação do código malicioso por meio da implementação de chaves de criptografia RSA no JavaScript da página.

Alguns detalhes técnicos do ataque:
Cadeia de redirecionamentos
O link “goo.gl” está direcionando os usuários para diferentes domínios, todos com a página “m28sx.html”:

 






Em seguida, a página html direciona o visitante para um domínio estático localizado na Ucrânia:

Já o domínio encaminha o usuário para outro endereço IP que está relacionado à distribuição do falso antivírus:

Este, por sua vez, faz o trabalho final de redirecionamento e conduz a vitima para o site malicioso:

O falso antivírus
Ao acessar o site malicioso, um alerta surgirá informando que a máquina está executando aplicações suspeitas e pede que o usuário aceite um “escaneamento”:

Após clicar no OK, o “escaneamento” começa e as “infecções” passam a ser reportadas:

Então o usuário receberá instruções para remover as ameaças presentes em seu computador. Para que isso ocorra, é preciso baixar e instalar o “Security Shield”, uma aplicação falsa que se passa por um antivírus:

A interface do programa é traduzida conforme o idioma configurado no computador do internauta.
Antivírus falso usando criptografia RSA no site
Técnicas de criptografia são muito comuns em páginas maliciosas. Aqui, uma pequena explicação sobre o código do site malicioso, onde encontramos dois tipos de criptografia:
  • Base64 Decode (trivial)
  • RSA com Modulus
Aqui está parte do código da página ofuscada:

Tanto a classe quanto o método usado na criptografia possuem nomes randômicos. O método “camungjr” está tomando um parâmetro em BASE64. Ao investigarmos sua classe, encontramos o algoritmo RSA:

Usuários familiarizados com criptografia irão reconhecer o algoritmo RSA neste código, baseado em função com três parâmetros: C, D e N que usam o operador “powmod”. Entretanto, vale ressaltar que todos os usuários da Kaspersky estão protegidos contra esse worm e todas as URLs listadas nesse ataque estão na blacklist.

Fonte: Guia do PC

Nenhum comentário:

Postar um comentário