Com essa mensagem inicio a análise de um malware que hospedava seus arquivos maliciosos nessa loja virtual (invadida) anunciada como 100% segura. Ainda no decorrer do artigo também entenderemos por que quando há um proxy configurado no navegador por um malware não conseguimos removê-lo nem apagando as chaves no registro do Windows.
Let's do it!
Esse malware chegou através da velha isca da conversa do MSN que pede para ver a foto. Alguém ainda cai nisso? Sim, muitos, como veremos adiante.
Ao clicar no link do e-mail foi feito download do arquivo:
DSC_1709235674.JPG.exe (MD5: 8b29998982c17b22ae3af24e650e0896)
Quando executado pela primeira vez o arquivo faz uma cópia de si mesmo em “C:\Windows\sevenup.exe”. Também cria uma chave no registro para ser executado automaticamente a cada inicialização do Windows, conforme podemos ver com a ajuda do Regshot e Autoruns abaixo.
Mesmo ele alterando seu nome para sevenup.exe continua sendo o mesmo arquivo já que o MD5 é o mesmo.
Por fim ele acessa uma página PHP que estava hospedada na loja virtual citada no início.
Agora quando tentamos executá-lo manualmente pela segunda vez ele exibe uma mensagem de erro.
Então deve ter alguma proteção para garantir que seja executado somente na inicialização do sistema. Como conseguiremos capturar os eventos do malware? Até o Windows todo carregar para conseguir executar nossas ferramentas de análise o malware já terá feito muita coisa.
Capturando eventos na incialização do Windows
Para realizar essa tarefa o Process Monitor tem uma opção muito útil no menu Options – Enable Boot Logging.
Dessa forma ele executará também junto com o sistema, capturando todos os eventos do malware desde o início.
No Regshot também há um truque que podemos utilizar, o funcionamento básico do programa é: tira uma “foto” antes de executar o malware, tira outra “foto” após o malware ser executado e compara as duas para descobrir as alterações feitas no sistema de arquivos e registro.
Sendo assim podemos tirar a primeira “foto” antes de reiniciar o sistema e salvar o arquivo, depois do reinício carregamos a primeira foto (Load), tiramos a segunda e comparamos normalmente.
A desvantagem desse método é que como a própria inicialização do Windows já provoca várias modificações no sistema o resultado da comparação será extenso, cabe a nós separmos o que foi provocado pelo malware e o que é legítimo do Windows.
Feito isso reiniciamos o sistema e o sevenup.exe foi executado. Nas muitas linhas que o Regshot gerou duas chamaram atenção.
Valores modificados no registro:
HKU\...\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL:
"http://XXXXXXXXX/images_produtos/home/home/p.pac"
Arquivos modificados:
C:\Documents and Settings\Administrador\Dados de aplicativos\
Mozilla\Firefox\Profiles\2z49u0qt.default\prefs.js
Na primeira vemos claramente que foi adicionado uma script de proxy automático no Internet Explorer.
Na segunda vamos ver o que há nesse arquivo pref.js do diretório do Firefox.
Através do arquivo pref.js é feita a configuração automática de proxy no Firefox.
Mesmo que desativamos essas configurações de proxy automático nos navegadores ou apagamos a chave do registro e as modificações no pref.js elas continuam lá. Por que isso acontece?
Porque existe um processo rodando em loop infinito monitorando essas opções, no mesmo segundo que apagamos ele vai lá e insere novamente. Podemos ver parte dessa execução na tela abaixo obtida com o Process Monitor.
Análise Web
Descobrimos que a função do malware é configurar um proxy automático nos navegadores das vítimas, vamos agora analisar esse site que está hospedando o arquivo do proxy p.pac e aquele primeironovo.php que o malware acessou.
Ao acessar a URL da pasta onde estavam os arquivos foi possível constatar que estava sem index listando assim todo seu conteúdo.
O conteúdo do arquivo p.pac como era de se esperar fazia referência a URLs bancárias redirecionando o tráfego para o IP 74.63.232.195:80.
Na pasta 1 havia um log com todos as pessoas que haviam sido infectados, ou seja, quando o malware acessa aquela URL novo.php ele salva nessa pasta um registro de data e hora para o controle de quantos foram infectados.
E ainda o arquivo log.php é uma interface amigável para o “gerente do negócio” verificar quantos “pedidos” recebeu:
Em 24 horas que monitorei foram inseridos 254 arquivos nessa pasta, então pode-se dizer que mais de 200 pessoas caíram nesse golpe em apenas um dia. Lembrando que todos esses arquivos estavam dentro da loja virtual.
Conclusão
Assim que eu descobri o site infectado comuniquei para três e-mails diferentes de contato que havia na loja virtual, dois voltaram pois não existiam mais e o outro nunca foi respondido.
Não satisfeito consultei o whois do site e encontrei outro e-mail do responsável pelo domínio e possivelmente desenvolvedor do site. Esse me retornou prontamente de forma educada, apagou os arquivos maliciosos imediatamente e ainda pediu dicas de segurança para deixar o site mais seguro.
A ideia do artigo não é criticar essa loja virtual em si mas alertar para a segurança das transações financeiras que realizamos pela Internet, muitos sites dizem respeitar a privacidade, que nossos dados não serão divulgados, que está protegido, a prova de “hackers”, criptografado e tudo mais, até onde isso é verdade? Como sempre, devemos ter muito cuidado já que não há sistemas 100% seguros.
Fonte: Crimes Cibernéticos
Nenhum comentário:
Postar um comentário
Obrigado pelo seu comentário, sua opinião é muito importante para que possamos estar avaliando os textos