Variante Mais Recente do Trojan Dofoil Revelada com Funções Avançadas para Evitar a Detecção
Os hackers de computador estão sempre em movimento para evocar a maior e mais recente ameaça, para que possam ganhar o melhor dia de pagamento possível às custas dos usuários de computador vitimados. Essa força perpétua trouxe muitas ameaças antigas de malware de volta aos mortos, onde emergiram mais fortes do que nunca com novas funções avançadas para torná-las mais eficientes e, de certa forma, à prova completa. Uma ameaça de malware específica que ressurgiu para causar estragos em computadores vulneráveis em todo o mundo é o Trojan Dofoil, que ficou em silêncio no ano passado, mas voltou à vida com novos recursos de evasão.
O Trojan Dofoil, que tem sido apontado como um botnet agressivo contra roubo de dados e aquisição de sistemas, surgiu novamente este ano com novas funções para evitar a detecção por soluções de segurança. O Dofoil Trojan, agindo como um botnet, foi projetado para criar uma rede de computadores infectados que os hackers por trás do malware podem utilizar para atacar sistemas e roubar dados deles.
Em descobertas recentes de pesquisadores de malware da Fortinet, o Trojan Dofoil possui novos recursos, onde agora pode recuperar uma lista de módulos do servidor de comando e controle (C&C) criptografados. As alterações encontradas na variante mais recente do Dofoil têm medidas anti-análise que verificam se ele está sendo executado em um depurador ou máquina virtual. Se ele detectar esse caso, o Dofoil parece ter a capacidade de agir para frustrar sua análise de exame, entrando em um modo de loop infinito.
Outros aspectos da mais recente variante do Dofoil Trojan é que ele engana os mecanismos de detecção por meio da criptografia de pacotes para enviar de volta a um conjunto de endereços URL legítimos a partir de uma chave do Registro. Esse comportamento é conhecido por mascarar os dados maliciosos que são trocados entre um sistema infectado pelo Dofoil e o servidor de comando e controle. Além disso, a detecção do Dofoil é limitada devido aos servidores legítimos que recebem os dados falsos responderem de maneiras diferentes, devolvendo um erro ou retornando um simples carregamento de um site normal.
Em pesquisadores que descobriram essas informações no Dofoil, foi permitido descriptografar seus pacotes criptografados e depois revelar a identificação de seu servidor de comando e controle. Este processo não foi uma tarefa fácil. No entanto, nas atividades aleatórias e nas habilidades de criptografia do Dofoil, os pesquisadores determinaram a técnica da infecção para escapar à detecção de diferentes ferramentas de segurança.
Informações subjacentes adicionais sobre o Dofoil foram limitadas até agora. No momento, os pesquisadores concluíram que o Trojan Dofoil se tornou uma ameaça muito mais agressiva e perigosa do que nunca. É possível que outras ameaças de botnet semelhantes ao Dofoil sigam o exemplo em seus novos avanços para evitar a detecção e análise no futuro, pelas quais muitos especialistas em segurança de computadores estão se preparando.
Como sempre, continue utilizando um aplicativo antivírus ou antispyware atualizado para detectar e remover ameaças como o Dofoil. Além disso, é de seu interesse continuar utilizando uma ferramenta de segurança para proteger seu sistema contra infecções de ameaças tão perigosas quanto o Dofoil ou outras redes de bots relacionadas, o que pode levar ao roubo de seus dados pessoais.