Malware bancário brasileiro utilizava o Dropbox como hospedagem


Resultado de imagem para Trend Micro

O laboratório regional da Trend Micro detectou uma tentativa de ataque no Brasil que utilizava o Dropbox como hospedagem da carga viral.
malware utilizou também uma técnica de infecção fora do convencional, batizada de New Domain, que passou a ser bastante usada atualmente para evasão de tecnologias baseadas em reputação de URLs.
Para funcionar, o Cavalo de Troia batizado de Banload utilizou como um ponto de entrada uma URL que, na época, não possuía nenhum malware hospedado. O ponto que chamou a atenção foi o redirecionamento para uma URL maliciosa no Brasil que encaminhava o usuário a um download de um arquivo ZIP hospedado no DropBox. O uso de URLs de redirecionamento e/ou originadas em encurtadores como exemplo: bit.ly, ow.ly, go.gl é uma técnica bastante utilizada para evasão de tecnologias tradicionais.
A técnica é uma tentativa de burlar regras geralmente existentes em sistemas de segurança para e-mail, onde o atacante envia um endereço que direciona o usuário ao download do arquivo malicioso. O atacante usa de velhas táticas de engenharia social para fazer com que as vítimas cliquem no link enviado e sejam infectadas: o assunto do e-mail nesse ataque era “Segue o comprovante de depósito”.
Pelo rastreamento na base de inteligência da Trend Micro, foi constatado que o User-Agent utilizado na comunicação tem o mesmo nome de um grupo de atacantes brasileiro relacionado a possíveis ataques direcionados.
O Banload tem outras características que o destacam dos demais trojans, como técnicas de evasão de análise em Sandbox, onde o malware consegue detectar se sua execução está ocorrendo em um ambiente real ou simulado; e download de módulos externos, em que módulos adicionais são baixados para realizar as funções para a captura das teclas, permitindo o roubo de senhas bancárias da vítima.
A Trend Micro já informou ao DropBox, que um grupo de atacantes estava utilizando seus serviços para hospedar um malware e o link foi retirado do ar.

Postagens mais visitadas deste blog

Boa Sorte!

inurl:usuarios.mdb inurl:users.mdb inurl:site.ini inurlassword.mdb inurlrders.log inurl:shopping.mdb inurl:cart/cart.asp inurl:/productcart inurl:vti_inf.html inurl:service.pwd inurl:users.pwd inurl:authors.pwd inurl:administrators.pwd inurl:shtml.dll inurl:shtml.exe inurl:fpcount.exe inurl:default.asp inurl:showcode.asp inurl:sendmail.cfm inurl:getFile.cfm inurl:imagemap.exe inurl:test.bat inurl:msadcs.dll inurl:htimage.exe inurl:counter.exe inurl:browser.inc inurl:hello.bat inurlasswd filetype:txt inurl:admin filetype:db inurl:iisadmin inurl:"auth_user_file.txt" inurl:"Admin_files" inurl:"wwwroot/*."allinurl:/i-shoppro shodbtest.asp allinurl: comersus_viewitem.asp allinurl:mdbinurl:usuarios.mdb inurl:users.mdb inurl:site.ini inurlassword.mdb inurlrders.log/cgi-bin/i-shop/admin/store.log /cgi-bin/i-shoppro/admin/store.log/cgi-bin/DCShop/Orders/orders.txt /WebShop/logs/cc.txt /WebShop/templates/cc.txt /cgi-bin/st
Leia mais

Sobre o Google - O que ele diz sobre "inrul, intitle, allintilte, allinurl" e o que outros dizem...

Imagem
Princípios básicos de pesquisa Pesquisa Avançada Página de resultados de pesquisa Definindo Preferências Operadores avançados O Google suporta diversos operadores avançados, que são palavras de consulta que têm um significado especial para o Google. Tipicamente, estes operadores modificar a pesquisa, de alguma forma, ou até mesmo dizer o Google para fazer uma totalmente diferente tipo de pesquisa. Por exemplo, "link:" é um operador especial, bem como a consulta [link: www.google.com] não fizer uma pesquisa normal, mas sim verificar todas as páginas que têm links para www.google.com. Vários dos operadores utilização de pontuação mais comuns, em vez de palavras, ou não requerem uma cólon. Entre estes estão os operadores OR "," (citação do operador), - (a menos operador), e + (plus o operador). Mais informações sobre esses tipos de operadores encontra-se disponível na página Básico de Pesquisa. Muitos destes operadores especiais são acessíveis a partir da
Leia mais