Em agosto de 2015, a Symantec identificou um Trojan que infectou organizações localizadas principalmente em Taiwan, mas Brasil e Estados Unidos também foram atingidos. O Dripion é feito sob encomenda, desenvolvido para roubar informações e tem sido usado em um número limitado de ataques direcionados, com bastante moderação.
Os cibercriminosos por trás dessa campanha tentam encobrir suas atividades usando nomes de domínios disfarçados de sites de antivírus e seus ataques têm algumas semelhanças com os feitos por um grupo chamado Budminer, envolvendo o a Taidoor Trojan (Trojan.Taidoor).
Ameaças desconhecidas podem escapar da detecção baseada em assinaturas, mas podem ser bloqueadas por outras ferramentas de detecção que identificam comportamentos maliciosos. Por isso, uma ameaça por malware personalizado, como Dripion, ilustra o valor da segurança de várias camadas.
Comportamento nocivo
Uma vez instalado o Dripion, o invasor pode acessar o computador do usuário e fazer upload, download e roubar informações relevantes da vítima, executando comandos remotos. Informações como nome do computador da vítima e endereço IP são automaticamente transmitidos para o servidor dos hackers, logo após a infecção inicial.
O Dripion foi identificado em múltiplas variações e traz números de versão codificados dentro do malware. Isso indica que os atacantes têm a capacidade de criar e desenvolver o seu próprio malware personalizado, bem como atualizar seu código para fornecer novas capacidades e tornar a detecção mais difícil.
Via assessoria
Fontes
