Um mês após detalhar o funcionamento do malware sLoad, especialistas em segurança da Microsoft encontraram à solta uma versão atualizada, conhecida como sLoad 2.0 ou Starslord. E embora tenha algumas mudanças no código para impedir que seja analisado ou detectado pelos especialistas, o propósito continua o mesmo: espalhar mais malware

O sLoad é o que é tecnicamente conhecido como um “dropper”: malware que baixa e instala outro malware em uma máquina infectada. Esse tipo de praga se mantém em constante comunicação com servidores de comando e controle (C&C), que indicam quais “cargas” devem ser baixadas e executadas nas vítimas.

Droppers são uma categoria muito “útil” no submundo do crime digital, porque seu uso é geralmente subcontratado. Um grupo infecta as máquinas, e depois as coloca à disposição de outros grupos que desejem usá-las para executar ataques DDoS, envio de spam, mineração de criptomoedas, extorsão e por aí vai.

O sLoad se destaca de outros programas em sua categoria por seu uso extensivo de tecnologias da própria Microsoft que compõem partes fundamentais do Windows. Por exemplo, quase todas as operações de rede são agendadas através de um sistema chamado BITS, usado no Windows Update. Ele monitora a conexão de rede e procura, e baixa, atualizações de sistema apenas quando ela está ociosa, evitando “deixar a internet lenta” quando o usuário mais precisa, o que poderia levantar suspeitas.

Outra tecnologia usada pelo sLoad é a PowerShell, interpretador de comandos e linguagem de script integrada ao sistema desde o Windows 7. Ela é usada para executar scripts em memória, sem que tenham que ser armazenados como arquivos no disco rígido do PC.

A nova versão do sLoad tem duas características que chamaram a atenção dos especialistas: uma é a capacidade de identificar o estágio de infecção de uma máquina, o que torna possível para os servidores de controle distribuir diferentes comandos para diferentes estágios.

A outra é um mecanismo “anti-análise”. O sLoad 2.0 pode detectar quando um especialista está tentando analisar seus processos ou código, e marca esta máquina para que receba menos respostas dos servidores de controle e não receba uma “carga” de malware para executar. Esse funcionamento incompleto prejudica o trabalho do analista.

O funcionamento do sLoad 2.0 é detalhado em um relatório da Microsoft. Para os usuários finais, as recomendações para proteção são as mesmas de sempre: não instalar programas piratas ou de fontes desconhecidas, não baixar ou abrir arquivos anexos em mensagens não solicitadas e ter um bom software antivírus instalado no PC.

Fonte: ZDNet