Trend Micro: Malware usa uma conexĂŁo SSL para se comunicar com o servidor C&C

Recentemente, vimos vĂĄrias campanhas de spam aproveitando as Ășltimas explosĂ”es da Maratona de Boston. No entanto, os especialistas da Trend Micro identificaram um ataque direcionado que vale a pena mencionar.

Tudo começa com um e-mail intitulado “Por favor, ore por Boston”. “” Por favor, ore por Boston “.

O e-mail diz algo assim: “Duas bombas poderosas explodiram perto da linha de chegada da Maratona de Boston na tarde de segunda-feira, matando pelo menos trĂȘs pessoas, incluindo uma criança, e ferindo pelo menos 100. Uma das cerimĂŽnias mais populares da cidade foi A primavera passou de uma cena de louvor e triunfo para um massacre sangrento e morte. “

Anexado a essas mensagens estå um documento do Word aparentemente inofensivo. No entanto, quando alguém abre o documento, um arquivo executåvel serå executado, detectado pela Trend Micro como Troj_Naikon.A.

ssl O Troj_Naikon.A foi projetado para conectar-se a Servidor de administração e controle SSL. O certificado digital usado no ataque Ă© preenchido com informaçÔes falsas, como o “abc” do nome da organização.

O uso do SSL garante que o tråfego enviado entre o malware e o servidor seja criptografado, reduzindo as chances de ser detectado por algum software de segurança.

O servidor usado para o centro de gerenciamento e controle de malware jĂĄ foi usado por outro malware, que estava ativo em 2011. No entanto, desde que faz muito tempo desde entĂŁo, os especialistas dizem que nĂŁo estĂĄ claro se hĂĄ uma conexĂŁo. entre os dois.

“Usar a criptografia SSL para se comunicar com o servidor C&C tem suas vantagens, principalmente para evitar a detecção por software de segurança”, diz Nart Villeneuve, pesquisador sĂȘnior de ameaças da Trend Micro.

“No entanto, podemos tomar algumas medidas de precaução, como pesquisar por padrĂŁo, valores SSL aleatĂłrios ou em branco nos campos do certificado e limitar a detecção de certificados fornecidos por redes externas”.