Programadores
do Brasil no subterrâneo cyber criminal são pioneiros em Malware entre as
plataformas baseadas em arquivos Java (Jar).
March
9, 2016
By Pierluigi Paganini
Tradução livre de Afonso Henrique Rodrigues Alves.
Recentemente
experts em security de Palo Alto descobriram uma nova família de ransomware
apelidada KeRanger que tem como alvo os usuários do Mac OS X, uma circunstância
que demonstra que cada OS esta potencialmente em risco.
Agora,
pesquisadores da Kaspersky Lab descobriram novas famílias de malware que estão
sendo distribuídos como arquivos executáveis Java (Jar) para permitir que o
código malicioso seja executado em Mac, Linux e Windows, e até mesmo em
dispositivos Android em condições especiais.
Os autores
do malware estão reunindo o código malicioso como um arquivo JAR para
desenvolver uma multi-plataforma de malwares. Claro, a fim de executar o
código, é necessário que o Java Runtime Environment (JRE) esteja instalado na
máquina de destino.
Felizmente
para os bandidos, Java é instalado em 70-80% das máquinas em todo o mundo, e
vxers[1]
brasileiros parecem estar cientes disso.
"Codificadores
Trojan Banker brasileiros agora estão fazendo Trojans correndo em todas as
plataformas e não apenas em Windows.", Escreveu o especialista em ameaças
cibernéticas de Kaspersky Dmitry Bestuzhev.
"Como
os arquivos Jar executados em Windows, Mac OS X e Linux, onde Java está
instalado. Este é o primeiro passo cibercriminosos no sentido de
"cross-plataformas[2]"
".
Os especialistas
da Kaspersky notaram que o subterrâneo brasileiro de crime é pioneiro no desenvolvimento de malware
multi-plataforma. Os pesquisadores de malware também notaram que as novas
ameaças resultam do desenvolvimento de grupos distintos no Brasil.
Kaspersky
descobriu várias campanhas de spam que entregam maliciosos arquivos JAR colocados dentro de arquivos enviados como
anexos. Estas campanhas voltadas para espalhar códigos maliciosos,
principalmente trojans bancários, nomeados como Trojan-Banker.Java.Agent,
Trojan-Downloader.Java.Banload e Trojan-Downloader.Java.Agent.
A maioria
das infecções foram observadas no Brasil, seguido por China e Alemanha.
Outro
aspecto que faz com que essas campanhas muito traiçoeira é que o malware
cross-plataforma é furtivo e apresenta uma baixa taxa de detecção. Estas gotas são
pequenos pedaços de código, com características maliciosas limitadas, por esta
razão, eles podem facilmente escapar à detecção, sendo assim baixa na máquina
infectada outros malwares.
"Na
verdade, a taxa de detecção geral para todos os fornecedores de antivírus é
extremamente baixa." Cross-OS[3]
malware é apenas o primeiro passo.
Os
especialistas da Kaspersky destacaram que programadores brasileiros
desenvolveram um conta-gotas cross-OS, no momento usado para espalhar malwares
mais velhos ao sistema bancário, mas os pesquisadores acreditam que esta
cross-platform-JAR trojan bancário está em desenvolvimento.
Como Dmitry
Bestuzhev, pesquisador da Kaspersky, explica, isso pode ser apenas uma questão
de tempo.
"Programadores
brasileiros estão a liberar vírus que funcionam exclusivamente em Jar?",
"Não há nenhuma razão para acreditar que eles não vão. Eles estão apenas
começando e eles não vão parar. ", Diz o post.
Pierluigi
Paganini
(Assuntos
de Segurança - Coreia do Norte, Information Warfare)
Brazilian
underground is the first in spreading cross-platform malware
March 9, 2016 By Pierluigi Paganini
Coder
in the Brazilian Cyber Criminal underground are Pioneering Cross-platform
malware relying on Java archive (JAR) Files.
Recently security experts at PaloAlto
Networks uncovered a new family of ransomware dubbed KeRanger that
targets Mac OS X users, a circumstance that demonstrates that every OS is
potentially at risk.
Now researchers at Kaspersky Lab have
discovered new families of malware that are being distributed as JAR Java
executables to allow the malicious code to run on Mac, Linux, and Windows,
and even on Android devices under special conditions.
The malware
authors are packing the malicious code as a JAR file to
develop cross-platform malware. Of course in order to run the code, it is
necessary that the Java Runtime Environment (JRE) is installed on the
target machine.
Fortunately for the crooks, Java is
installed on 70-80% of machines worldwide, and Brazilian vxers seems to be
aware of this.
“Brazilian Trojan Banker coders
are now making Trojans running on all platforms and not only Windows.”wrote cyber threat experts from
Kaspersky Dmitry Bestuzhev.
“Because Jar files run on Windows, OS X
and Linux, wherever Java is installed. This is the very first step cybercriminals
from Brazil have made towards “cross-platforming“.”
Kaspersky experts noticed that the Brazilian criminal underground is
a pioneer in the development of cross-platform malware. The malware researchers
also noticed that the new threats result from the development of
distinct gangs in Brazil.
Kaspersky discovered several spam
campaigns delivering malicious JAR files, or JAR files placed inside archives
sent as attachments. These campaigns aimed to spread malicious
codes, mainly banking trojan, named as Trojan-Banker.Java.Agent,
Trojan-Downloader.Java.Banload, and Trojan-Downloader.Java.Agent.
Most infections have been observed in
Brazil, followed by China and Germany.
Another aspect that makes these
campaigns very insidious is that the cross-platform malware is stealthy and
presents a low detection rate. These droppers are tiny pieces of code,
with limited malicious features, for this reason they can easily evade
detection and download on the infected machine other malware.
“Actually, the general detection rate for
ALL AV vendors is extremely low.” continues the post. Cross-OS malware
droppers are only the first step
The experts at Kaspersky highlighted
that Brazilian coders have developed a cross-OS dropper at the moment used to
spread older banking malware, but researchers believe cross-platform JAR-packed
banking trojan is under development.
As Dmitry Bestuzhev, cyber threats
researcher for Kaspersky, explains, this may only be a matter of time.
“Are Brazilian coders going to release
full bankers – bandleaders and bankers running exclusively on Jar?” “There is
no reason to believe they won’t. They have just started and they won’t stop.” states the post.
(Security
Affairs – North Korea, Information Warfare)
No comments:
Post a Comment