Licenças para vários dispositivos (descontos por volume)

Mudar de região

English Português
Computer Security Malware Adiciona Detecção Online de Sandbox para Evitar a...

Malware Adiciona Detecção Online de Sandbox para Evitar a Análise de Ameaças

Por Nizel em Computer Security
Traduzir Para:
Português

qualquer script de execução Os desenvolvedores de malware estão verificando se o malware está sendo executado na sandbox de análise de malware Any.Run para impedir que o malware seja analisado pelos pesquisadores. O Any.Run é um serviço de sandbox online de análise de malware que permite a pesquisa de malware sem arriscar um computador. Sempre que um executável é enviado para Any.Run, a sandbox cria uma máquina virtual do Windows com um ambiente de área de trabalho remota interativa, com o arquivo executável em execução no interior. Os pesquisadores podem usar a área de trabalho interativa para verificar o comportamento do malware sem afetar sua máquina. O Any.Run registra a atividade da rede, a atividade do arquivo e as alterações no registro simulado do Windows no ambiente sandbox.

O Malware pode Detectar que está sendo Executado no Any.Run

Uma nova campanha de spam de Trojan para roubar senhas, foi descoberta pelo pesquisador de malware independente JAMESWT, mostrando scripts mal-intencionados do PowerShell trabalhando para baixar e instalar malware nos dispositivos afetados. Quando o script do PowerShell é executado, ele baixa dois scripts adicionais do PowerShell no computador da vítima, preenchidos com malware incorporado e ofuscado. O script decodifica o malware incorporado e o executa na máquina afetada. Quando o segundo script é executado, ele tenta iniciar o que parece um Trojan que rouba senhas - o Azorult.

Suponha que o malware detecte a sua execução em um ambiente Any.Run; ele exibe uma mensagem dizendo 'Any.run Detected!" e fecha. Isso faz com que a execução do malware seja interrompida, para que a sandbox não possa ser usada para analisá-lo. O o link está neste vídeo é uma amostra do ambiente da ameaça em execução em um PC com o Windows.

Any.Run script text Captura de tela
Exemplo de um Script de Texto Completo do Any.Run

Usando essa abordagem, os atores de ameaças tornam mais difícil para os pesquisadores analisar os seus ataques em um ambiente como esse. Quando o malware é executado em uma máquina virtual padrão ou em um sistema convencional, o Trojan, que rouba senhas, rouba as credenciais de login salvas em navegadores, programas FTP, credenciais de email, nomes de usuário, senhas, carteiras de criptomoedas, mensagens de bate-papo e informações de software instalado no afetado sistema.

Embora isso não impeça que um pesquisador determinado analise um malware, ele diminui a velocidade do processo e exige mais trabalho para entender como ele funciona. Como os pesquisadores de segurança estão aumentando a análise de malware online, essas ameaças provavelmente continuarão desenvolvendo recursos que detectam ambientes de máquinas virtuais online.

Carregando...