Pplware

Alerta ESET: Trojan Nemucod volta a atacar

O downloader de tipo trojan “Nemucod” está de regresso com uma nova campanha – mas desta vez mudou a carga maliciosa que despeja sobre as suas vítimas: em vez de “ransomware”, como até aqui, a sua arma preferida passou a ser uma vulnerabilidade (“backdoor”) focada em servir publicidade para gerar dinheiro através de cliques em anúncios.

O malware Nemucod foi usado em grandes campanhas de ataques maliciosos ao longo deste ano, tendo alcançado quase um quarto (24%) de share nas detecções globais de malware a 30 de Março de 2016. Alguns países registaram um nível de prevalência destes ataques acima de 50% ao longo do ano.

No passado recente, o conteúdo malicioso servido peloNemucod consistiu principalmente em famílias de “ramsomware”, mais frequentemente a Locky ou a já descontinuada TeslaCrypt. Na mais recente campanha detectada pela ESET, o  Nemucod leva o utilizador a ciar um backdoor, após clicar em anúncios denominada Kovter (identificada pela ESET como Win32/Kovter).

Como “backdoor”, este trojan permite ao atacante controlar à distância equipamentos sem o conhecimento ou autorização das vítimas. Esta variante analisada pelos analistas ESET foi melhorada através da inclusão de um botão com capacidade “ad-clicking” através de um browser. O trojan pode ativar até 30 ameaças separadas em que cada uma dela leva o utilizador a visitar sites e a clicar nos anúncios.

O número das ameaças pode mudar, através de comandos inseridos pelo atacante, mas também podem ser modificados automaticamente devido à monitorização do nível de performance através do Kovter. Se o computador está inativo, o malware pode alocar mais recursos para as suas atividades até nova atividade do utilizador ser detetada.

Como é normal no Nemucod, a versão atual que distribui o Kovter é propagada como um anexo Zip de um email que se faz passar por uma factura que contem um ficheiro JavaScript executável infetado. Se o utilizador cair na armadilha e correr o ficheiro Nemucod infetado, faz automaticamente o download do Kovter e executa-o no seu equipamento.

Os analistas de segurança ESET recomendam que se mantenham as regras gerais para a segurança online e que se sigam os seguintes conselhos:

Exit mobile version