*Google alerta sobre uma nova maneira como os hackers podem tornar o malware indetectável no Windows

 

Os pesquisadores de segurança cibernética revelaram uma nova técnica adotada por agentes de ameaças para evitar deliberadamente a detecção com a ajuda de assinaturas digitais malformadas de suas cargas de malware.

"Os invasores criaram assinaturas de código malformadas que são tratadas como válidas pelo Windows, mas não podem ser decodificadas ou verificadas pelo código OpenSSL - que é usado em uma série de produtos de verificação de segurança", disse Neel Mehta do Google Threat Analysis Group em um artigo publicado na quinta-feira.

Observou-se que o novo mecanismo foi explorado por uma família notória de software indesejado, conhecido como OpenSUpdater, que é usado para baixar e instalar outros programas suspeitos em sistemas comprometidos. A maioria dos alvos da campanha são usuários localizados nos Estados Unidos, que tendem a baixar versões crackeadas de jogos e outros softwares da área cinzenta.

As descobertas vêm de um conjunto de amostras do OpenSUpdater enviadas ao VirusTotal pelo menos desde meados de agosto.

 

Malware indetectável no Windows

 

 

 

 

 

 

 

 

 

 

 

 

 

Não são apenas os artefatos assinados com um certificado X.509 de folha inválido que é editado de tal maneira que o elemento 'parâmetros' do campo SignatureAlgorithm inclui um marcador de Fim de Conteúdo (EOC) em vez de uma tag NULL. Embora essas codificações sejam rejeitadas como subprodutos inválidos usando OpenSSL para recuperar informações de assinatura, as verificações nos sistemas Windows permitiriam que o arquivo fosse executado sem nenhum aviso de segurança.

"Esta é a primeira vez que o TAG observa atores usando essa técnica para evitar a detecção enquanto preserva uma assinatura digital válida em arquivos PE", disse Mehta.

"As assinaturas de código em executáveis ​​do Windows fornecem garantias sobre a integridade de um executável assinado, bem como informações sobre a identidade do signatário. Os invasores que conseguem ocultar sua identidade em assinaturas sem afetar a integridade da assinatura podem evitar a detecção por mais tempo e estender a vida útil de seus certificados de assinatura de código para infectar mais sistemas. "

 

Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.

Post a Comment