Trend Micro: Malware usa uma conexĂŁo SSL para se comunicar com o servidor C&C

Recentemente, vimos várias campanhas de spam aproveitando as últimas explosões da Maratona de Boston. No entanto, os especialistas da Trend Micro identificaram um ataque direcionado que vale a pena mencionar.

Tudo começa com um e-mail intitulado “Por favor, ore por Boston”. “” Por favor, ore por Boston “.

O e-mail diz algo assim: “Duas bombas poderosas explodiram perto da linha de chegada da Maratona de Boston na tarde de segunda-feira, matando pelo menos trĂŞs pessoas, incluindo uma criança, e ferindo pelo menos 100. Uma das cerimĂ´nias mais populares da cidade foi A primavera passou de uma cena de louvor e triunfo para um massacre sangrento e morte. “

Anexado a essas mensagens está um documento do Word aparentemente inofensivo. No entanto, quando alguém abre o documento, um arquivo executável será executado, detectado pela Trend Micro como Troj_Naikon.A.

ssl O Troj_Naikon.A foi projetado para conectar-se a Servidor de administração e controle SSL. O certificado digital usado no ataque Ă© preenchido com informações falsas, como o “abc” do nome da organização.

O uso do SSL garante que o tráfego enviado entre o malware e o servidor seja criptografado, reduzindo as chances de ser detectado por algum software de segurança.

O servidor usado para o centro de gerenciamento e controle de malware já foi usado por outro malware, que estava ativo em 2011. No entanto, desde que faz muito tempo desde então, os especialistas dizem que não está claro se há uma conexão. entre os dois.

“Usar a criptografia SSL para se comunicar com o servidor C&C tem suas vantagens, principalmente para evitar a detecção por software de segurança”, diz Nart Villeneuve, pesquisador sĂŞnior de ameaças da Trend Micro.

“No entanto, podemos tomar algumas medidas de precaução, como pesquisar por padrĂŁo, valores SSL aleatĂłrios ou em branco nos campos do certificado e limitar a detecção de certificados fornecidos por redes externas”.