Malware infecta Windows, Mac OS X, PCs Linux usando vulnerabilidade Java em patch lançado pela Oracle

Foi na mesma época do ano passado que o Java enfrentou um dos períodos mais críticos de sua história desde seu lançamento. Os hackers, naquela época, usaram uma vulnerabilidade chamada ‘Zero Day Exploit’ para invadir softwares baseados em Java. Esses exploits eram tão potentes que comandavam um preço de $5000 por exploit em sites e fóruns underground. Consequentemente, a Oracle lançou uma série de patches para corrigir essa vulnerabilidade. No entanto, um dos patches lançados pela Oracle, chamado CVE-2013-2465, lançado em junho de 2013 para corrigir a vulnerabilidade crítica, parece ter um exploit !!!

• *

• *

Os pesquisadores descobriram que um malware de botnet usa esse exploit para infectar computadores que rodam todos os principais sistemas operacionais Windows, Mac OS X e Linux, desde que tenham o framework de software Java da Oracle instalado e em execução. E como o framework Java é usado quase em todos os lugares e por todos, a infecção foi descrita como uma grande ameaça. Em segundo lugar, o malware em si é uma versão multiplataforma que usa o ofuscador Zelix Klassmaster para impedir que seja descompilado por hackers whitehat e blackhat concorrentes. O nome desse malware é Heur:Backdoor.Java.Agent.a. Além de ofuscar o bytecode, o Zelix criptografa alguns dos processos internos do malware, tornando impossível detectá-lo, curá-lo ou descompilá-lo.

• *

Todas as máquinas que têm a versão 7 u21 do Java e anteriores são suscetíveis a serem infectadas por essa botnet. Uma vez que o bot infecta um computador, ele se copia para o diretório de inicialização automática de sua respectiva plataforma para garantir que seja executado sempre que a máquina infectada for inicializada. Uma vez inicializado, o malware faz com que os computadores comprometidos se reportem a um canal de chat de relé da Internet que atua como um servidor de comando e controle. Os hackers podem então usar esse canal IRC para controlar remotamente o computador hackeado/comprometido. Como mencionado acima, devido à sua característica multiplataforma, esse malware é considerado duplamente perigoso.

• *

Os hackers usam essa botnet para conduzir especificamente ataques de D enial of Service (DDoS) distribuídos em alvos de sua escolha. Isso é feito pelos hackers emitindo os comandos necessários através do canal IRC. O canal IRC especificado permite que os hackers especifiquem o endereço IP, número da porta, intensidade e duração dos ataques. O malware é escrito inteiramente em Java, permitindo que ele funcione em máquinas Windows OS X e Linux. Para maior flexibilidade e mais manobrabilidade para os hackers, o bot também foi incorporado com PircBot, uma interface de programação IRC baseada em Java.

• *

O funcionamento desse malware de botnet é projetado de tal forma que a vítima do ataque DDoS, assim como o atacante (PC comprometido), estão ambos inconscientes do verdadeiro criminoso por trás do ataque. Isso também dificulta para o webmaster, analistas de segurança e hackers whitehat empregados pela vítima monitorarem seus sites e chegarem à fonte do verdadeiro atacante.