Trend Micro alerta para nova variante do ZBOT

O malware Zeus/ZBOT e suas variantes, já conhecidos pelo envolvimento no roubo de credenciais em sites de redes sociais e bancos, passaram a ser utilizados em uma nova tática de engenharia social nos formatos PDF. De acordo com pesquisas da Trend Micro, esses arquivos tornam-se veículos para a propagação das ameaças, que exploram diferentes vulnerabilidades descobertas nos softwares Adobe Reader e Acrobat.

Porém, a empresa observou recentemente um PDF criado para extrair uma variante ZBOT do computador sem explorar sua vulnerabilidade. Ao invés disso, esse arquivo malicioso usa um recurso legítimo do Adobe Reader: a função /launch, usada na especificação do PDF. Ela permite que o autor de um documento portátil anexe um arquivo executável e, por meio de engenharia social, induza os usuários a salvarem e executarem o tal arquivo.

Atualmente, a Trend Micro detecta esse arquivo PDF como TROJ_PIDIEF.UTA., que chega anexado a uma mensagem de spam supostamente enviada pelo “Royal Mail”, a agência postal britânica. No corpo do e-mail, a mensagem alega que uma correspondência não foi recebida e que o arquivo Royal_Mail_Delivery_Invoice_1092817.pdf anexo é a notificação para a fatura da entrega.

Ao abrir PDF malicioso, o Adobe Reader e o Acrobat avisam o usuário que o arquivo contém um possível risco à segurança e que ele precisa permitir a execução do programa, caso tenha vindo de uma fonte confiável. O aviso é de um recurso legítimo do Adobe Reader e do Acrobat, que aciona a extração de uma variante ZBOT.

Ao clicar no botão Abrir, o arquivo malicioso embutido é executado. Esse arquivo extraído é detectado pela Trend Micro como TSPY_ZBOT.NCT. O arquivo PDF contém, ainda, um calendário que ajuda a ocultar seus procedimentos do usuário, para enganá-lo quanto à legitimidade.

Fonte: Risk Report

Anúncios

Deixe um comentário

Ainda sem comentários.

Comments RSS TrackBack Identifier URI

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s