Jokra, ameaça a múltiplos sistemas operacionais

mac_malware

Pesquisadores da Symantec, renomada empresa na área de soluções para segurança da informação, descobriram que o malware de nome Jokra, e que recentemente ganhou notoriedade devido aos ataques cibernéticos sofridos por instituições financeiras na Coréia do Sul, possui instruções para atacar não só a máquinas executando o sistema operacional Windows, principalmente em suas versões 7 e XP, mas também para tentar afetar  a outros sistemas operacionais, como SunOS, AIX, HP-UX e GNU/Linux.

” Nós normalmente não vemos componentes que atuem em múltiplos sistemas operacionais, então é interessante ver que os atacantes incluíram um componente para apagar máquinas Linux, dentro de uma ameaça para máquinas Windows “, relataram os pesquisadores em uma postagem do blog da empresa.

O Jokra tem como principal computadores executando as versões 7 ou XP do sistema operacional Windows, e buscam por uma aplicação chamada mRemote, que é uma ferramenta para acesso remoto e que pode ser usada para gerenciar dispositivos em diferentes plataformas.

Ele então analisa o arquivo XML que contém as configurações do mRemote, e então busca por parâmetros de conexões com privilégios de administrador que utilizem o protocolo SSH. O malware então libera outra ameaça na forma de um script bash, localizado em %Temp%\~pr1.tmp, e então realiza o upload e execução desse arquivo temporário como /tmp/cups no computador remoto executando Linux.

O script foi desenhado para funcionar com qualquer distribuição GNU/Linux, com comandos específicos para as variantes Unix citadas no início deste post. Ele apaga os diretórios /kernel, /user, /etc e /home.

Além da Symantec, outra empresa provedora de soluções em segurança da informação, a McAfee, também analisou o código do cavalo de tróia e emitiu sua opinião sobre o mesmo em um outro artigo.

Ela relata que strings, que podem ser PRINCPES, PR!NCPES ou HASTATI, são utilizadas para reescrever a MBR e outras partes aleatórias do sistema de arquivos, dificultando a recuperação dos computadores afetados.

Uma terceira empresa com foco em segurança da informação, a avast!, publicou em seu blog oficial que os ataques realizados a diversas instituições bancárias na Coréia do Sul, tiveram origem de um website do Korean Software Property Right Council, algo como Conselho Coreano de Direito em Propriedade de Software.

Segundo a avast!, o site foi comprometido para servir como gatilho para o ataque hospedado em um outro website, e o código de ataque atual explora uma vulnerabilidade existente no Internet Explorer, datada de julho de 2012, e já com patch de correção liberado pela Microsoft.

A Symantec informou que continua a investigar o ataque, e que divulgará novas informações a respeito, tão logo estas se tornem disponíveis.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s