Malware é capaz de ocultar atividades pelo Registo de Eventos no Windows
Quem cria malware também tenta sempre adaptar o mesmo para ser o mais “invisível” possível para o sistema e utilizadores, mas uma recente campanha focada para o Windows coloca esta fasquia bastante elevada.
Um grupo de investigadores de segurança revelou recentemente uma nova campanha de malware que esconde as suas atividades através do Registo de Eventos do Windows.
De acordo com a empresa de segurança Kaspersky, esta afirma ter descoberto um conjunto de malwares que parecem – para já – ser bastante focados nas vítimas, e não um ataque generalizado para a plataforma. No entanto, a investigação revelou que este malware usa uma técnica algo inédita para ocultar as suas atividades.
O malware processa os comandos do ataque através do próprio registo de eventos do sistema (os logs do Windows), além de usar um ficheiro DLL modificado para que possa “ler” os comandos pelo registo, e executar os mesmos no sistema. O processo do Registo de Eventos do Windows é colocado como uma tarefa agendada no sistema, sendo que analisa os registos pelos comandos de forma recorrente.
Quando os encontra, os mesmos são processadores pelo ficheiro DLL modificado para “ler” os mesmos, e que então executa o ataque. O mais curioso será que o ficheiro DLL modificado é totalmente inofensivo quando usado sozinho – apenas quando os comandos enviados para o Registo do Windows são lidos pelo mesmo, é que então o código é executado de forma maliciosa.
De notar que esta não é a primeira vez que se explora a possibilidade de usar o Registo do Windows para realizar ataques, no entanto é a primeira vez que se confirma um malware a usar o mesmo para este género de atividades.
De momento o malware parece ser consideravelmente focado em alvos específicos, e não algo que se destine a tentar infetar o máximo de dispositivos possíveis.