Al\u00e9m disso, tamb\u00e9m \u00e9 not\u00e1vel que a primeira amostra observada deste malware de “detec\u00e7\u00e3o zero” pode ter sido implementada desde setembro de 2012, tendo o tempo de compila\u00e7\u00e3o como um indicador. O malware \u00e9 assinado com um certificado aparentemente roubado de um desenvolvedor de software oriundo de Pequim, cujo popular software \u00e9 usado por mais de meio bilh\u00e3o de usu\u00e1rios em todo o mundo. Assim, \u00e9 v\u00e1lido lembrar que GlassRAT emprega muitos dos sinais indicadores de efic\u00e1cia em suas atividades. O seu drop-down \u00e9 assinado usando um certificado comprometido de um editor confi\u00e1vel e muito conhecido. Depois disso, ele \u00e9 exclu\u00eddo devido \u00e0 sua carga ser entregue com sucesso. E uma vez instalado, o arquivo DLL malicioso persiste abaixo do radar de endpoint antiv\u00edrus. Um ponto importante a ser ressaltado, \u00e9 que esta \u00faltima campanha empregando o malware parece visar cidad\u00e3os chineses associados a grandes corpora\u00e7\u00f5es multinacionais, dentro e fora da China.<\/p>\n
A infra-estrutura de C & C do malware, pode estar intimamente ligada a campanhas anteriores de segmenta\u00e7\u00e3o (com outro malware) \u00e0s for\u00e7as armadas das Filipinas e do governo da Mong\u00f3lia. Sendo assim, as evid\u00eancias sugerem que o componente dropper do malware \u00e9 oferecido \u00e0s v\u00edtimas como uma atualiza\u00e7\u00e3o do Adobe Flash Player. Ambos, tanto o Adobe quanto a Symantec foram indiretamente afetados por esta praga (Symantec atrav\u00e9s do certificado Verisign roubado), e \u00e9 prov\u00e1vel que o malware em breve seja detectado por um n\u00famero cada vez maior de software.<\/p>\n
Fontes: http:\/\/under-linux.org\/content.php?r=9788<\/a><\/p>\n