De forma a analisar sites potencialmente perigosos ou de phishing, a maioria dos investigadores usam sistemas de máquinas virtuais para a tarefa, o que permite garantir alguma segurança no processo sobre um ambiente controlado.
No entanto, uma nova tendência que tem vindo a verificar-se nos últimos tempos sobre sites de phishing encontra-se na capacidade de os mesmos analisarem se uma visita está a ser feita por um sistema real ou uma máquina virtual. Usando javascript nos sites, estes são capazes de recolher algumas informações do navegador que podem ser usadas para identificar se o acesso está a ser feito por uma VM ou um sistema real.
A descoberta da MalwareHunterTeam cita um exemplo concreto de código que tenta recolher informação sobre o motor gráfico usado no navegador. Caso este coincida com um motor vulgarmente usado em VMs, o site redireciona para outro endereço ou impede o acesso – o que dificulta a tarefa de identificar as atividades maliciosas.
Este género de código não é novo, e, na verdade, faz algum tempo que se aplica em malware diverso. Na maioria dos casos, o código em malware tenta recolher informação sobre o sistema para analisar se o mesmo está a correr num ambiente virtual ou não, e em caso positivo então nenhuma atividade maliciosa é realizada – dificultando a tarefa de investigação.
Nenhum comentário
Seja o primeiro!