Symantec descobre malware incomum usado em ataques contra Coreia do Sul

Fornecedores de segurança analisaram o código usado nos ataques cibernéticos contra a Coreia do Sul e encontraram componentes maliciosos ??projetados para destruir os computadores infectados.

Um pesquisador da Symantec descobriu que esse componente, escondido dentro de um malware do Windows usado nos ataques, tinha como objetivo limpar as máquinas com Linux.

O malware, chamado de Jokra, é incomum, disse a empresa. “Normalmente não vemos componentes que funcionam em múltiplos sistemas operacionais, então é interessante descobrir que os crackers incluíram um componente para limpar o Linux dentro de uma ameaça Windows”, completou a companhia em seu blog.

O Jokra também verificou computadores que rodavam Windows XP e 7 em busca de um programa chamado mRemote, que é uma ferramenta de acesso remoto que pode ser usada para gerenciar dispositivos em diferentes plataformas, disse a Symantec.

Ataques coreanos

A Coreia do Sul está investigando os ataques ocorridos na quarta-feira (20/3) que interromperam os sistemas de ao menos três estações de televisão e quatro bancos. Funcionários do governo investigam o suposto envolvimento da Coreia do Norte no golpe.

A McAfee também publicou uma análise sobre o código de ataque, que subescreveu o Master Boot Record do computador. O MBR é o primeiro setor do HD que a máquina verifica antes de iniciar o sistema operacional.

Se o Master Boot do PC é substituído com qualquer uma das suas sequências similares “PRINCPES” ou “PR!NCPES.”, o dano pode ser permanente, disse a McAfee. Se o MBR é corrompido, o computador não inicia.

“O ataque também substituiu partes aleatórias do sistema de arquivos com as mesmas sequências de caracteres, tornando vários arquivos irrecuperáveis”, escreveu Jorge Arias eGuilherme Venere, ambos analistas de malware da McAfee. “Desse modo, mesmo se o MBR for recuperado, os arquivos no disco também serão comprometidos.”

O malware também tentou encerrar dois programas antivírus sul-coreanos desenvolvidos pelas empresas Ahnlab e Hauri. Outro componente, um Bash shell script, tentou apagar partições dos sistemas Unix, incluindo o Linux e HP-UX.

A empresa de segurança Avast escreveu em seu blog que os ataques contra os bancos sul-coreanos foram originados do site do Conselho Coreano de Direito de Propriedade de Software.

A página foi hackeada para servir de iframe que entregou um ataque hospedado em outro site, disse o Avast. O código de ataque explora uma vulnerabilidade no Internet Explorer que data de julho de 2012, mas foi corrigida pela Microsoft.

Symantec descobre malware incomum usado em ataques contra Coreia do Sul – Internet – IDG Now!.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *