Proponha uma correção, faça uma sugestão
ESET publica análise sobre o backdoor Carbon
Durante a última década, os ciberataques perpetrados pelo grupo Turla demonstraram o uso de um vasto arsenal de ferramentas – todas focadas na aquisição de informação de instituições específicas na Europa e nos EUA. Recentemente, investigadores da ESET publicaram as suas descobertas numa análise profunda às inovações encontradas nas versões mais recentes do backdoor de segundo nível, denominado Carbon.
Conhecidos por mudarem de ferramentas quando descobertos, o grupo Turla mantém o seu malware em evolução constante, alterando mutexes (objetos de exclusão mútua) e nomes de ficheiros entre versões. Isto também é notável no Carbon – nos três anos decorridos desde o seu desenvolvimento, os investigadores da ESET conseguiram até agora confirmar oito versões ativas. Notável pelos seus esforços meticulosos e atividade faseada, o grupo Turla começa por efetuar reconhecimento dos sistemas das vítimas antes de acionarem ferramentas sofisticadas como o Carbon.
Uma situação clássica começa com o utilizador a receber um email suspeito ou a visitar um site previamente comprometido, tipicamente um site visitado regularmente. Após um ataque bem-sucedido, um backdoor de primeiro nível – como o Tadvig ou o Skipper – é instalado no sistema da vítima. Assim que a fase de reconhecimento é concluída, um backdoor de segundo nível, como o Carbon, é instalado em sistemas críticos.
A metodologia do Carbon passa por disseminar elementos do Carbon e o seu ficheiro de configuração, um componente que comunica com servidores de Controlo e Comando (C&C), e um módulo que gere tarefas, que as expede para outros computadores na mesma rede e cria neles um processo legítimo – o DLL – que comunica com os C&C e um programa que executa o módulo.
“O Carbon é semelhante a outra ferramenta do Turla – o rootkit Uroburos – sendo a estrutura de comunicação a semelhança mais relevante. Os objetos de comunicação são implementados da mesma forma, as estruturas e tabelas virtuais parecem idênticas, mas há menos canais de comunicação no Carbon,” pode ser lido na análise. “Sem os componentes de kernel e exploits, o Carbon pode ser a versão ‘light’ do Uroburos.”
Este artigo tem mais de um ano
Loading ...
off-topic: Não sei se já o fizeram, porém, gostaria de deixar este alerta aos leitores aqui do pplware à cerca deste esquema de Phishing (https://www.wordfence.com/blog/2017/04/chrome-firefox-unicode-phishing/) que usa domínios idênticos aos de páginas conhecidas. (afecta Firefox, Chrome e alguns derivados, não afecta o Edge, o IE e o Safari)
Para os meus conhecimentos, estao muito “há frente”, percebo o mecanismo da coisa, mas fico na duvida :
Os programas de anti-virus, anti- malware, anti.rootkit, etc, detectam esta coisa ?
Se nao… como proceder para me proteger….minimamente ? nao me venham com a treta de desligar a Internet, ou nao visitar sites indesejáveis, pois essa recomendação devem-na dar aos DEPUTADOS (e outros que tais), do parlamento, por diversas vezes apanhados, a ver meninas…
Nao existe nenhuma receita. Na minha opniao algumas dicas que te posso dar sao: nao clicar em links que nao conheces(cuidado com a engenharia social que é um meio para te fazerem clicar), usar um add-on para permitir o uso de javascript, java e outros plugins só para sites confiaveis (recomendo o NoScript) , ter tudo sempre atualizado, e nao descarregar para o teu pc nada que nao conheces (volto a relembrar ter cuidado com a engenharia social).
Espero que tenha ajudado 🙂 .
+1
o problema dos antivírus é precisamente que só funcionam contra coisas que sao conhecidas, fora isso estes têm uma taxa de sucesso muito baixa…