Alerta aos usuários da plataforma Mac: O malware OSX/Imuler, descoberto no ano passado, que atua roubando informações do sistema operacional, volta a ter evidência. Desta vez, ao invés de ser instalado pelo OSX/Revir.A, a nova variante do OSX/Imuler se esconde em um arquivo ZIP, dentro de uma pasta de imagens eróticas, esperando que o usuário abra o aplicativo malicioso.

A nova variante é muito similar às anteriores em termos de comunicação de comando e controle (C&C) e funcionalidades (o OSX/Imuler rouba informações que podem coletar e transmitir arquivos, capturas de tela, e outros dados para um servidor remoto). O protocolo de rede ainda é baseado em HTTP e o volume de dados transmitidos (payload) é compactado utilizando o zlib. Está sendo utilizado um novo domínio para comando e controle, registrado em 13 de fevereiro deste ano, através de um escritório de registros web chinês. O domínio aponta para o mesmo endereço IP das variantes anteriores, localizadas nos Estados Unidos e que ainda estão ativas.

Isso tudo parece indicar que a nova variante foi criada para reforçar sua evasão aos antivírus.

O OSX/Imuler tem a funcionalidade de enviar arquivos locais do usuário ao servidor do malware. O responsável por essa ação é um arquivo executável chamado CurlUpload, que é baixado do servidor sempre que o malware entra em atividade. Esse arquivo executável, primeiramente detectado no início de 2011, apresenta linhas interessantes em seu código, que sugerem ter sido desenvolvido inicialmente para o Windows e depois recompilado para o OS X:

O ESET Cybersecurity para Mac (software antivirus da ESET específico para a plataforma da Apple) já identifica a nova variante sob o nome OSX/Imuler.C, desde a atualização 6970 do banco de dados de assinaturas de vírus.

Alexis Dorais -Joncas
Security Intelligence Team Lead (ESET USA)

Categories: Alertas, Botnet, Malware em imagens
No Comments »

Recebi recentemente um interessante e-mail, no qual uma suposta moça me chamava de “meu amor” e, por não poder me dar um beijo pessoalmente, enviava um “vídeo postal” para compensar. Isso se tratava do já conhecido golpe do falso cartão, mas o que me chamou a atenção não foi isso, mas sim a imagem contida no e-mail:

Como podemos ver, o e-mail inclui uma imagem da suposta remetente do postal. Obviamente, não foi ela quem enviou este e-mail, sendo que os programadores mal-intencionados utilizaram sua imagem para dar mais realismo à mensagem. Agora vem a pergunta… Como eles obtiveram essa imagem? Bem, muitos de vocês saberão que isso não é muito complicado hoje em dia graças às diversas redes sociais. Porém essa não é uma imagem de perfil devido ao seu tamanho, tendo sido provavelmente obtida na galeria de fotos de algum usuário do Facebook ou de outra rede social que aceite a publicação de imagens. Isso significa que provavelmente a foto está sendo utilizada sem o consentimento da proprietária, provavelmente por ela não ter configurado corretamente as opções de segurança de seu perfil.

Este é um claro exemplo do que pode acontecer se não protegermos adequadamente a informação que publicamos online. Há casos piores nos quais inclusive são feitas montagens utilizadas em sites pornográficos ou por pedófilos.

Seguindo um pouco com o golpe em questão, podemos detectar um erro de redação no mesmo (destacado em amarelo), já que a suposta remetente se chama Paulina, mas em seguida é oferecido um link para baixar o vídeo completo de Alexandra.

Ao clicar no link oferecido, somos redirecionados a um site verdadeiro que realiza outro redirecionamento a um site violado onde está alojado o malware. A ameaça hospedada ali foi detectada pelo ESET NOD32 Antivirus como Win32/Qhost.OFS (um trojan).

Recomendamos que sempre se haja prudência ao publicar suas informações na Internet e que, ao fazê-lo, verifiquem quem são as pessoas que devem ter acesso ao material, e quem não deve. A verdade é que é muito fácil publicar imagens na web, mas a coisa fica mais complicada quando se quer removê-las.

Joaquín Rodríguez Varela
Malware Laboratoty Coordinator

Categories: Engenharia Social, Malware em imagens
No Comments »