Alerta do Websense Security Labs

Fonte: vu

O Websense Security Labs descobriu um novo Trojan sendo distribuído por mensagens de spam na América Latina. A mensagem está escrita em espanhol, e inclui o assunto: "Espero que te guste".

O email funciona como uma isca, buscando fazer com que os usuários cliquem em um link e baixem um cartão postal virtual. Existem diversas versões da mensagem de spam, mas a principal diferença é a localização onde o código malicioso está armazenado. Em todas as versões descobertas até agora, o nome do arquivo é sempre "mexico.exe" e a identificação MD5 é "ce073c460ec25d7e40efe3f717f75c38".

Em todas as amostras, o arquivo estava armazenado em websites comprometidos.

Se os usuários clicam no link e executam o código, uma janela do navegador para a Univision.com abre-se, como forma de ocultar o que está acontecendo por trás. O código malicioso também conecta-se a um ou mais sites para baixar um outro arquivo binário, "file56.gif". O arquivo é na verdade um executável do Windows.

O binário "file56.gif" pode vir de qualquer um entre cinco diferentes sites comprometidos. O arquivo é baixado para o diretório Windows system32 e recebe o nome "html.txt". Depois o arquivo "html.txt" é renomeado como "html.exe" e executado.

A carga útil do código está escrita em Delphi e compactada com RLpack. Ele desabilita o Task Manager, apaga o arquivo hospedeiro, e muda algumas opções de inicialização e opções do menu Iniciar. Ele também inclui um componente de roubo de informações.

Captura de tela do HTML email disponível no alerta completo. Para mais detalhes e informações sobre como detectar e prevenir este tipo de ataque: www.websensesecuritylabs.com/alerts/alert.php

O Websense Security Labs descobre e investiga as atuais ameaças avançadas da Internet e divulga suas descobertas a fim de permitir que as organizações protejam da melhor forma sua rede de computadores e os acessos de seus funcionários.