quarta-feira, 23 de junho de 2010

Ataque com PDF malicioso



Uma recente onda de spam, varreu a Internet com mensagens que se apresentam como notificações IT de várias empresas e serviços de todo o mundo. A táctica de engenharia social pode ser antiquada mas o seu uso por parte de pessoas mal intencionadas continua a causar imensas dores de cabeça aos internautas.
Como ocorre o ataque
A ameaça surge numa mensagem de correio electrónico com um anexo em PDF que aproveita uma característica do Adobe Acrobat Reader. Quando os utilizadores abrem o anexo, o malware que ele contém aproveita o recurso de abertura de ficheiros do Adobe para descarregar para o sistema, ficheiros de malware identificados como [TROJ_KATUSHA.F] e [TROJ_PIDIEF.ZAC].
Como o malware entra no sistema
O cavalo de Tróia [TROJ_PIDIEF.ZAC], usa o recurso de lançamento PDF [batscript.vbs] para abrir um arquivo de script, detectado como o sendo o malware [VBS_EMOTI.A], largando para o sistema e executando um componente worm chamado [game.exe] detectado como sendo na verdade o [WORM_EMOTI.A], que eventualmente começará a ligar o computador a URLs maliciosos. O componente worm também transporta um arquivo rootkit [bp.sys] detectado como sendo o malware [RTKT_EMOTI.A] utilizado para esconder e camuflar as rotinas maliciosas e evitar ser descoberto pelo utilizador.
Como é que os utilizadores são levados a abrir o anexo malicioso
A mensagem de e-mail informa os utilizadores que as configurações da sua caixa de correio electrónico foram alteradas. Informa também que o arquivo. PDF anexo contém as instruções que os utilizadores necessitam de ler antes de poderem actualizar as configurações.
O que fazer para se proteger
É muito importante que os utilizadores usem de toda a cautela ao abrir mensagens de e-mail e ao descarregar arquivos anexados.
As mensagens de Spam vêm normalmente de remetentes desconhecidos. No entanto, os spammers também encontram maneiras de enganar os utilizadores e de os levar a abrirem as mensagens, fazendo parecer que essa mensagem veio de um remetente legítimo como seja o endereço de uma empresa e ou serviço. Em casos como esses, os utilizadores precisam de prestar mais atenção aos detalhes, como o endereço do remetente e-mail e as propriedades do arquivo anexado. Também seria prudente a contactar directamente com representantes da empresa e ou serviço para verificar a autenticidade do e-mail.
Para atenuar ataques semelhantes, a Adobe recomenda mudar a configuração do Adobe Reader e do Acrobat para impedir a abertura de anexos não PDF, até que uma solução mais permanente seja encontrada. Os administradores de redes podem também fazer algumas alterações nas configurações do Registro para impedir que os utilizadores possam habilitar a configuração que permite abrir ficheiro não PDF.

Traduçao e adaptação do original em http://emea.trendmicro.com/emea/home/
@protejaintenet

Nenhum comentário:

Postar um comentário