Entrar
bukib
0 bukibs
Columbus, Ohio
Hora local: 00:54
Temperatura: 2°C
Probabilidade de chuva: 21%

Antivírus cego: novo malware se esconde em imagens PNG e domina o Windows

Descoberta de Malware em Imagens PNG

Pesquisadores da empresa de segurança Veracode descobriram um pacote npm malicioso que esconde o trojan de acesso remoto (RAT) Pulsar em imagens PNG. Esse malware é altamente complexo e combina vários processos conhecidos para confundir antivírus e detecção pelo usuário.

O arquivo JSON do vírus começa com typosquatting para fingir ser o legítimo buildrunner, cujos pacotes npm já foram abandonados. Isso faz com que o desenvolvedor que nota o pacote busque pelo seu nome e pense que se trata de uma variante recente e ignore o arquivo, deixando que instale o RAT na máquina.

Processo de Instalação do Malware

Todo o processo de instalação do malware é longo e complexo de propósito. Tudo começa quando o usuário roda qualquer npm install, mas isso só traz um downloader separado, que se liga à pasta de inicialização do Windows com um nome aleatório para seguir na máquina sem levantar suspeitas.

Na próxima vez que o computador é ligado, então, o arquivo age. A imagem entregue pelo pacote malicioso parece apenas ruído sem sentido, mas na verdade, há códigos para um trojan de acesso remoto nos arquivos.

Detecção e Evitação de Antivírus

De todas as 1.653 linhas do vírus, somente 21 importam, ofuscando os comandos em meio a texto lixo. Caso alguém abra o arquivo, nada fará muito sentido, o que pode fazer com que passe despercebido.

Há muitas camadas: o comando malicioso é separado entre 909 variáveis diferentes, sendo que 51 delas codificam strings em base64 que se tornam comandos inofensivos. Tudo isso evita a detecção e, finalmente, quando o malware age, ele gera uma cópia de si mesmo, garante a obtenção de privilégios de administrador e lança o payload.

Usando tipos de arquivo que evitam análise dos antivírus comuns e reescrevendo partes de seu código, o malware começa a esvaziar processos do Windows para substituí-los pelo agente malicioso e fazer com que pareça legítimo.

Conclusão

É importante que os programadores de plantão fiquem de olho no pacote buildrunner-dev para detectar qualquer anormalidade como as descritas aqui e bloquear a URL maliciosa. Além disso, é fundamental manter os sistemas de segurança atualizados e usar ferramentas de detecção de malware para evitar ataques como esse.

  • Verifique regularmente os pacotes npm instalados em sua máquina.
  • Mantenha os sistemas de segurança atualizados.
  • Use ferramentas de detecção de malware para evitar ataques.

Este conteúdo pode conter links de compra.

Fonte: link