• Início
  • Apps
  • ESET descobre nova vulnerabilidade que transmite uma “backdoor”

ESET descobre nova vulnerabilidade que transmite uma “backdoor”

Analistas ESET descobrem nova campanha de malware que transmite uma backdoor para publicidade em vez de ramsomware.

 

*Está a ler um comunicado de imprensa

O downloader de tipo troiano “Nemucod” está de regresso com uma nova campanha – mas desta vez mudou a carga maliciosa que despeja sobre as suas vítimas: em vez de “ransomware”, como até aqui, a sua arma preferida passou a ser uma vulnerabilidade (“backdoor”) focada em servir publicidade para gerar dinheiro através de cliques em anúncios.

O malware Nemucod foi usado em grandes campanhas de ataques maliciosos ao longo deste ano, tendo alcançado quase um quarto (24%) de share nas deteções globais de malware a 30 de Março de 2016. Alguns países registaram um nível de prevalência destes ataques acima de 50% ao longo do ano.

 

No passado recente, o “payload” (conteúdo malicioso) servido pelo Nemucod consistiu principalmente em famílias de “ramsomware”, mais frequentemente a Locky ou a já descontinuada TeslaCrypt. Na mais recente campanha detetada pela ESET, o “payload” Nemucod é uma “backdoor” com convite a clicar em anúncios denominada Kovter (identificada pela ESET como Win32/Kovter).

Como “backdoor”, este troiano permite ao atacante controlar à distância equipamentos sem o conhecimento ou autorização das vítimas. Esta variante analisada pelos analistas ESET foi melhorada através da inclusão de um botão com capacidade “ad-clicking” através de um browser. O troiano pode ativar até 30 ameaças separadas em que cada uma dela leva o utilizador a visitar sites e a clicar nos anúncios.

 

O número das ameaças pode mudar, através de comandos inseridos pelo atacante, mas também podem ser modificados automaticamente devido à monitorização do nível de performance através do Kovter. Se o computador está inativo, o malware pode alocar mais recursos para as suas atividades até nova atividade do utilizador ser detetada.

Como é normal no Nemucod, a versão atual que distribui o Kovter é propagada como um anexo Zip de um email que se faz passar por uma fatura que contem um ficheiro JavaScript executável infetado. Se o utilizador cair na armadilha e correr o ficheiro Nemucod infetado, faz automaticamente o download do Kovter e executa-o no seu equipamento.

 

Em conexão com o Nemucod, os analistas de segurança ESET recomendam que se mantenham as regras gerais para a segurança online e que se sigam os seguintes conselhos:

 

  • Se o seu cliente ou servidor de email fornece bloqueio de anexos por extensão, vai querer bloquear emails enviados com ficheiros anexados nos formatos .EXE, *.BAT, *.CMD, *.SCR e *.JS.
  • Certifique-se que o seu sistema operativo mostra as extensões dos ficheiros. Isto ajudará a identificar o verdadeiro tipo de ficheiro em caso de extensão duplicada (por exemplo, “INVOICE.PDF.EXE” não é mostrada como “INVOICE.PDF”).
  • Se recebe constantemente este tipo de ficheiros, verifique a fonte e se algo pode ser suspeito, explore a mensagem e os seus anexos com uma solução de segurança eficaz.