Publicámos uma análise aprofundada sobre um malware/backdoor designado pelos seus criadores por “Dino”.
A nossa análise encontrou fortes indícios que sugerem que Dino é um malware de tipo “Cavalo de Tróia” (trojan) capaz de criar um acesso não autorizado (backdoor) usado para objetivos de espionagem o qual terá sido criado por programadores franceses, designadamente o grupo de espionagem “Animal Farm”. Este grupo foi anteriormente responsável por sofisticados ataques com os malware Casper, Bunny e Babar.
“O Dino é basicamente uma elaborada ‘backdoor’ que se instala através de um software de tipo ‘trojan’, criado de forma modular”,explica Joan Calvet, o investigador de malware da ESET que analisou o código. “Entre várias inovações técnicas que encontramos contam-se um sistema de ficheiros capaz de executar comandos de forma encoberta bem como um sofisticado módulo de agendamento de tarefas capaz de funcionar de maneira similar ao comando ‘cron’ do Unix”.
A pesquisa da ESET conseguiu listar os comandos aceites belo executável Dino, bem como os comandos escolhidos pelos criadores do malware. O comando ‘search’ provou ser particularmente interessante, uma vez que permite aos operadores procurarem ficheiros com precisão meticulosa. Por exemplo, o operador do malware pode pesquisar sistemas infetados especificando ficheiros por tipo, dimensão ou data da última modificação.
Calvet descobriu também dois indicadores adicionais que sugerem que os programadores do grupo Animal Farm são de origem francesa (ou, pelo menos, têm o francês como idioma principal).
“O fraseamento nas mensagens de erro levantaram as nossas suspeitas”, explica o investigador da ESET. “Esse indício, juntamente com os valores dos códigos de linguagem definidos pelo compilador, tornaram mais forte a suspeita inicial de que os criadores do malware usam o francês como a língua materna. Claro que é sempre possível que estejamos simplesmente a ser induzidos em erro, mas suspeito que a equipa Animal Farm se esqueceu simplesmente de ajustar os códigos de idioma no Dino”.
A ESET disponibilizou informação mais detalhada sobre este backdoor num extenso e detalhado post no blog do seu website WeLiveSecurity.com. Para mais informação visite http://www.welivesecurity.com/2015/06/30/dino-spying-malware-analyzed/.
