O malware Zeus/ZBOT e suas variantes, já conhecidos pelo envolvimento no roubo de credenciais em sites de redes sociais e bancos, passaram a ser utilizados em uma nova tática de engenharia social nos formatos PDF. De acordo com pesquisas da Trend Micro, esses arquivos tornam-se veículos para a propagação das ameaças, que exploram diferentes vulnerabilidades descobertas nos softwares Adobe Reader e Acrobat.
Porém, a empresa observou recentemente um PDF criado para extrair uma variante ZBOT do computador sem explorar sua vulnerabilidade. Ao invés disso, esse arquivo malicioso usa um recurso legítimo do Adobe Reader: a função /launch, usada na especificação do PDF. Ela permite que o autor de um documento portátil anexe um arquivo executável e, por meio de engenharia social, induza os usuários a salvarem e executarem o tal arquivo.
Atualmente, a Trend Micro detecta esse arquivo PDF como TROJ_PIDIEF.UTA., que chega anexado a uma mensagem de spam supostamente enviada pelo “Royal Mail”, a agência postal britânica. No corpo do e-mail, a mensagem alega que uma correspondência não foi recebida e que o arquivo Royal_Mail_Delivery_Invoice_1092817.pdf anexo é a notificação para a fatura da entrega.
Ao abrir PDF malicioso, o Adobe Reader e o Acrobat avisam o usuário que o arquivo contém um possível risco à segurança e que ele precisa permitir a execução do programa, caso tenha vindo de uma fonte confiável. O aviso é de um recurso legítimo do Adobe Reader e do Acrobat, que aciona a extração de uma variante ZBOT.
Ao clicar no botão Abrir, o arquivo malicioso embutido é executado. Esse arquivo extraído é detectado pela Trend Micro como TSPY_ZBOT.NCT. O arquivo PDF contém, ainda, um calendário que ajuda a ocultar seus procedimentos do usuário, para enganá-lo quanto à legitimidade.
Fonte: Risk Report
Deixe um comentário
Ainda sem comentários.
1security's Blog 
Deixe um comentário