Uma equipe de pesquisadores da Universidade Ruhr, em Bochum, na Alemanha, criou um novo tipo de ciberataque no qual o código malicioso pode ser enviado em paralelo com um download de software legítimo sem a necessidade de mudança de nenhum código.

O novo ataque se liga a softwares de código aberto, já que há menos códigos de assinatura e checagens de integridade nesses downloads. Ele é incomum no fato do código não ser injetado no software, e sim vinculado a ele. Os pesquisadores explicam o que isso significa:

“Como a aplicação original não é modificada, há a vantagem do código malicioso poder ser de um tamanho maior, e assim ter mais funcionalidades. Assim, ao iniciar a aplicação infectada, o malware é iniciado. Ele analisa o arquivo em busca de mais arquivos executáveis embutidos, reconstitui e executa eles, opcionalmente de forma invisível para o usuário.”

Uma pessoa que use tal técnica precisaria apenas controlar um único ponto de rede entre o servidor do download e o cliente – o que significa que engenharia social simples ou redirecionamento de rede podem ser o suficiente para fazer isso se tornar realidade. E a técnica de vinculamento, que significa que o arquivo original não é alterado, significa que ele não se torna suspeito.

Mas há esperança. Os pesquisadores dizem que VPNs e HTTPS podem ser usados para detectar esse tipo de atividade suspeita que os sistemas atuais de detecção de malware não conseguem detectar. E lembre-se, por enquanto isso é apenas um projeto de pesquisa. Por enquanto. [Packet Storm via Threat Post]

Imagem via Shutterstock / lolloj