Especialistas em vírus da Sophos fizeram uma descoberta surpreendente na análise de um alvo de ataque cibernético. Um documento RTF criado especialmente para se aproveitando de uma vulnerabilidade no Word, para executar uma ferramenta de drivers da placa gráfica NVIDIA nos computadores das vítimas. O arquivo executável, chamado nv.exe, é assinado digitalmente - e é, de fato, o arquivo original, sem alterações.
A razão para este método tornou-se claro depois da biblioteca NvSmartMax.dll, que foi copiado tanto com o documento do Word e do .exe em computadores, foram analisados: Que a biblioteca estava em home para o código malicioso atual que cria uma backdoor permanente. As funções maliciosas na biblioteca foram executadas pelo arquivo nv.exe assinado pela NVIDIA.
Os atacantes se aproveitam do fato de que arquivos executáveis procuram primeiro pelas bibliotecas em sua própria pasta. Neste caso, portanto, o nv.exe tenta executar funções de sua DLL, mas, em vez disso, encontra e usa um gêmeo maligno primeiro. Os atacantes podem ter usado o binário assinado como um desvio a fim de ajudar o deslizamento de seu código malicioso, passando por qualquer software anti-vírus que pode ter sido instalado.
O documento do Word preparado consiste de uma declaração do Congresso da Juventude Tibetana, uma organização não-governamental que trabalha para a independência do Tibete, o que sugere que este ataque cibernético foi mais uma vez alvo de grupos pró-Tibete.
Fonte: The H
Edited by Robot^ - 18/6/2013, 22:28
