Eset alerta para regresso de malware Nemucod com novo efeito

Ana Rita Guerra,

A empresa de segurança ESET detetou o regresso do downloader de tipo troiano “Nemucod”, mas desta vez o código malicioso tem propósitos diferentes. Nesta campanha, a carga maliciosa que despeja sobre as suas vítimas não contém ransomware, mas sim uma “porta dos fundos” para publicidade.

O que significa isto? A arma preferida do Nemucod passou a ser uma vulnerabilidade (backdoor) focada em servir publicidade para gerar dinheiro através de cliques em anúncios.

Este malware foi usado em grandes campanhas de ataques maliciosos ao longo deste ano, tendo alcançado quase um quarto (24%) de quota nas deteções globais de malware a 30 de março de 2016. Alguns países registaram um nível de prevalência destes ataques acima de 50% ao longo do ano.

A ESET refere que o conteúdo malicioso servido pelo Nemucod consistiu principalmente em famílias de ramsomware – a Locky com maior frequência ou a já descontinuada TeslaCrypt. Na mais recente campanha detetada pela empresa, o conteúdo malicioso do Nemucod é uma “backdoor” com convite a clicar em anúncios denominada Kovter (identificada pela ESET como Win32/Kovter).

Como “backdoor”, este troiano permite ao atacante controlar à distância equipamentos sem o conhecimento ou autorização das vítimas. Esta variante analisada pelos analistas ESET foi melhorada através da inclusão de um botão com capacidade de “ad-clicking” através de um browser. O troiano pode ativar até 30 ameaças separadas em que cada uma dela leva o utilizador a visitar sites e a clicar nos anúncios. O número das ameaças pode mudar, através de comandos inseridos pelo atacante, mas também podem ser modificados automaticamente devido à monitorização do nível de performance através do Kovter. Se o computador está inativo, o malware pode alocar mais recursos para as suas atividades até nova atividade do utilizador ser detetada.

Como é normal no Nemucod, a versão atual que distribui o Kovter é propagada como um anexo zip de um email que se faz passar por uma fatura que contem um ficheiro JavaScript executável infetado. Se o utilizador cair na armadilha e correr o ficheiro Nemucod infetado, faz automaticamente o download do Kovter e executa-o no seu equipamento.

Em conexão com o Nemucod, os analistas de segurança recomendam que se mantenham as regras gerais para a segurança online e que se sigam os seguintes conselhos:

  • Se o seu cliente ou servidor de email fornece bloqueio de anexos por extensão, vai querer bloquear emails enviados com ficheiros anexados nos formatos .EXE, *.BAT, *.CMD, *.SCR e *.JS.
  • Certifique-se que o seu sistema operativo mostra as extensões dos ficheiros. Isto ajudará a identificar o verdadeiro tipo de ficheiro em caso de extensão duplicada (por exemplo, “INVOICE.PDF.EXE” não é mostrada como “INVOICE.PDF”).
  • Se recebe constantemente este tipo de ficheiros, verifique a fonte e se algo pode ser suspeito, explore a mensagem e os seus anexos com uma solução de segurança eficaz.