“Arma” utilizată de infractorii cibernetici este un fişier de tip MTM (MultiTracker Module) special conceput – un fişier audio similar cu cele de tip MOD şi MIDI – distribuit potenţialelor victime ca ataşament la e-mail, prin intermediul reţelelor de socializare sau prin schimbul de fişiere. Scopul său este să fie descărcat de către utilizatori şi adăugat în listele de redare.
Pentru ca această ameninţare să se declanşeze, este necesar ca utilizatorul să vizualizeze informaţiile meta ale melodiilor în Winamp (Alt+3). Aceasta este acţiunea care va declanşa exploitul inclus în fişierul modificat cu extensia .MTM.
Imediat ce utilizatorul a vizualizat aceste informaţii despre fişier, atacul va lansa un serviciu de tip backdoor, ce rulează pe portul 4444 şi va prelua conexiuni externe. Backdoor-ul va fi exploatat pentru a se obţine acces la calculatorul utilizatorului, atacatorul de la distanţă avînd aceleaşi drepturi ca utilizatorul care rulează aplicaţia Winamp.
Mai jos găsiţi un filmuleţ care arată cum poate fi posibilă o conexiune pe un port 4444 după ce utilizatorul a vizualizat informaţiile despre fişierul audio:
<object width="480" height="385"><param name="movie" value="https://www.youtube.com/v/ebx5fiSYf6A?fs=1&hl=en_US"></param><param name="allowFullScreen" value="true"></param><param name="allowscriptaccess" value="always"></param><embed src="https://www.youtube.com/v/ebx5fiSYf6A?fs=1&hl=en_US" type="application/x-shockwave-flash" allowscriptaccess="always" allowfullscreen="true" width="480" height="385"></embed></object>
BitDefender identifică fişierul modificat ca fiind Exploit.Winamp.D şi îl elimină înainte ca utilizatorii să îl poată încărca în lista de redare. Pentru a evita acest tip de ameninţări, aceştia sunt sfătuiţi să descarce fişere doar de pe site-uri de încredere şi să nu efectueze operaţiuni solicitate de utilizatori necunoscuţi.
Aceste informaţii tehnice au fost furnizate de Răzvan Benchea, BitDefender Malware Analyst.
SURSA: BitDefender
