O ZeusVM, nova variante de um dos piores trojans bancários, o Zeus, está circulando pela internet e aproveitando-se de arquivos de imagem JPG para entrar em ação. A descoberta foi feita pelo pesquisador Jerome Segura, da Malwarebytes, e por um colega francês, o pesquisador “Xilitol”: dentro das imagens encontra-se o arquivo de configuração do malware. A técnica de embutir um arquivo em outro é amplamente conhecida aqui pelo pessoal de segurança e se chama esteganografia. Os bandidos ocultam mensagens, scripts ou imagens (qualquer coisa, enfim) dentro dos arquivos de imagens.
“O JPG contém o arquivo de configuração do malware, que é essencialmente uma lista de scripts e de instituições financeiras -, mas não precisa ser aberto pela vítima”, diz Segura em seu blog. “Na verdade, o próprio JPG tem muito pouca visibilidade para o usuário e é em grande parte uma técnica de camuflagem para garantir que ele não seja bloqueado pelo software de segurança”, diz o pesquisador.
A infecção da máquina do usuário pelo ZeusVM permite ataques nos estilos man-in -the-middle e man-in- the-browser: ao visitar endereços bancários registrados na configuração, o trojan começar a operar em tempo real. Com isso, os criminosos podem obter informações suficientes até para transferências bancárias, e criar páginas exibindo falsos dados sobre saldo e movimentação – o que retardará a reação da vítima.
