Para fugir da detecção, atualização do malware TrickBot checa até a resolução do seu PC
Os operadores do malware TrickBot lançaram uma atualização no código do programa para criar um mecanismo de interrupção de atividades conforme a resolução do computador invadido. Agora, se o aparelho infectado estiver em resoluções fora não-padrão 800×600 ou 1024×768, a disseminação de suas atividades é interrompida.
De primeira, a variação pode causar um pouco de estranheza, mas o movimento não é de graça. A técnica é uma forma de pressupor se o sistema que está rodando é, na verdade, uma emulação de máquina virtual — que, por padrão, adotam estas dimensões de tela.
publicidade
Normalmente, máquinas virtuais são utilizadas por grupos de cibersegurança para avaliar o comportamento (e o estrago) de um malware. Ao fazer estas avaliações num ambiente emulado, simulando características como tipos de rede, placas de vídeo e outros componentes, entendendo quais vulnerabilidades são exploradas.
Porém, os cibercriminosos estão cada vez mais cientes de como suas armas são estudadas, e agora, incluíram esta atualização em variações do seu programa malicioso. Agora, linhas de código em JavaScript permitem que o TrickBot descubra se está diante de um computador real ou virtual — e só a partir daí, decide agir de acordo.
TrickBot ou… notícias?
A atualização do TrickBot está em um arquivo “.HTML”, que decodifica o código malicioso e começa a baixar outros malwares. A técnica é conhecida como “contrabando de HTML”, em que uma página web salva é utilizada para operar um código em uma linguagem de programação.
Feito isso, o script verifica se o navegador está usando um renderizador de software, como o SwiftShader, LLVMpipe, ou VirtualBox, o que é costuma ser indicativo de uma máquina emulada.
Segundo o grupo de cibersegurança Cryptolaemus, se o arquivo for aberto em um computador real, a página baixa um arquivo “.ZIP”. No entanto, se o código detectar indícios de uma máquina virtual, ele redireciona o endereço para o site da American Broadcasting Company (ABC).
Entretanto, os especialistas alertam que a atualização do TrickBot não está inaugurando técnica nenhuma, e que, na verdade, os criminosos responsáveis pelo malware roubaram o método de ofuscação.
Via BleepingComputer
Imagem: Rawpixel.com/Shutterstock
Leia mais:
Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Fonte: Acesse Aqui o Link da Matéria Original
