Crackers usam Java para infectar Linux e Mac e usar máquinas em ataques DDoS

John E Dunn, Techworld.com
30/01/2014 - 15h05
Cibercriminosos estão, mais uma vez, utilizando o design multiplataforma do Java para englobar usuários de Linux e Mac em seus conhecidos ataques com foco em usuários Windows.

Cibercriminosos estão, mais uma vez, utilizando o design multiplataforma do Java para englobar usuários de Linux e Mac em seus conhecidos ataques voltados para usuários Windows, de acordo com pesquisadores da empresa de segurança Kaspersky Lab.

A recente aplicação Java maliciosa identificada pela empresa - a HEUR:Backdoor.Java.Agent.a - é apenas o último exemplo de uma tendência oportunista do uso do grande potencial da linguagem para entregar um malware três-em-um e transformar os sistemas em meros zumbis participantes de uma botnet (rede de computadores) para ataques DDoS (negação de serviço).

Uma vez no sistema afetado pela falha no Java (CVE-2013-2465), corrigida em junho do ano passado com o SE 7 Update 21 e versões anteriores, o malware se conecta ao servidor de comando e controle por meio do IRC. De acordo com a Kaspersky, um dos alvos principais dos ataques DDoS pode ser um conhecido servido de e-mail.

O vírus também implanta o ofuscador Zelix Klassmaster como uma técnica para dificultar análises.

"Além da técnica de ofuscar bycode, o Zelix criptografa as constantes do tipo string. O Zelix gera uma chave diferente para cada classe - o que significa que, a fim de descriptografar todas as strings da aplicação, você terá que analisar todas as classes para encontrar as chaves", disse o pesquisador da Kaspersky Lab, Anton Ivanov.

A tática de multiplataforma não é nova e, de fato, é difícil de se saber se os cibercriminosos por trás do esquema estão mais interessados em atacar usuários de Linux e Mac ou simplesmente atingir as muitas vulnerabilidades Java no maior número de máquinas possível. Em dezembro, um malware DDoS com foco em usuários Windows e Linux foi identificado pela CERT da Polônia, embora sem o uso do Java.

"Ao longo do último ano vimos muitas amostras de malware com diferentes capacidades, algumas com habilidades DDoS e automação por meio de um servidor de comando e controle IRC", comentou o diretor de estratégia e segurança da Imperva, Barry Shteiman.

"A escolha do Java nesse caso faz do malware mais moderno. O Java é multiplataforma e, por isso, permitirá que o malware rode em mais plataformas. E ele pode se aproveitar do fato que crackers estão focados na pesquisa de vulnerabilidades da linguagem, então é provável que o malware evolua com novas maneiras de explorar e invadir os sistemas", disse.