GoBotKR

Os cibercriminosos costumam emprestar código uns para os outros e gostam especialmente de projetos de código aberto. Parece que o Trojan GoBotKR se baseia no backdoor GoBot2, uma ameaça cujo código-fonte foi disponibilizado ao público. Os autores da ameaça GoBotKR adotaram grande parte do código por trás do backdoor GoBot2 e o modificaram ao seu gosto. Os cibercriminosos por trás do Trojan GoBotKR estão focados principalmente na Coréia do Sul (daí o 'KR' no nome), com mais de 80% dos sistemas comprometidos localizados lá. No entanto, houve campanhas identificadas em outros locais do leste asiático, como Taiwan e China. Especula-se que o objetivo do GoBotKR seja infectar o maior número possível de computadores e criar uma botnet, que seria usada para possíveis ataques DDoS (Negação de Serviço Distribuída).

Torrents Piratas Espalham o GoBotKR

Os criadores do GoBotKR estão propagando este Trojan por torrentes. Como os autores do GoBotKR estão mirando principalmente a Coréia do Sul, eles optaram por inserir sua carga ameaçadora em torrentes de filmes e programas de TV coreanos populares. Houve casos ocasionais de torrents de videogame sendo usados para espalhar o Trojan GoBotKR também. É por isso que piratear conteúdo nunca é uma jogada inteligente.

Para evitar suspeitas, os torrents infectados continham a mídia que o usuário estava tentando baixar; no entanto, além disso, havia um arquivo '.PMA' e um arquivo '.LNK'. Para parecer mais legítimo, o arquivo '.PMA' carregava o nome de um pacote de codec amplamente conhecido, enquanto o arquivo '.LNK' copiava o nome e o ícone do arquivo de vídeo baixado pelo usuário. Em vez de abrir um arquivo '.PMA' legítimo que contém um pacote de codecs, os destinatários acabam carregando o Trojan GoBotKR. Se o usuário tentar abrir o arquivo 'LNK', ele acionará o arquivo '.PMA' e iniciará o ataque. Também abrirá o arquivo de vídeo para, novamente, evitar suspeitas.

Recursos do Trojan GoBotKR

Quando o GoBotKR se infiltra em um sistema, ele começa a desviar informações sobre ele para os atacantes. Os dados coletados dizem respeito ao hardware e software da máquina comprometida. Em seguida, um perfil do sistema da vítima será construído e adicionado à lista de outras máquinas infiltradas.

No entanto, a rede de bots dos atacantes não é construída apenas para lançar campanhas DDoS. Também é capaz de:

• Atualizar-se.
• Carregar páginas da Web.
• Alterar a página inicial do Internet Explorer.
• Executar arquivos.
• Executar comandos.
• Espalhar o Trojan GoBotKR para dispositivos de armazenamento portáteis.
• Espalhar o GoBotKR para serviços em nuvem.
• Controlar os processos atualmente em execução.
• Desabilitar vários recursos do Windows, como Gerenciador de Tarefas, Prompt de Comando e Editor do Registro.
• Reconfigurando o Firewall do Windows para desbloquear programas e portas específicos.
• Remover-se.

É sempre uma aposta quando se decide obter conteúdo pirata. Na maioria das vezes, não vale a pena arriscar, por isso recomendamos que você não faça o download de conteúdo protegido por direitos autorais. Também é inteligente fazer o download e instalar um pacote anti-vírus respeitável para manter seu sistema protegido contra ameaças como o GoBotKR.