No Windows o formato (.src) tem o potencial de instalar vírus quando executados. A abertura de qualquer arquivo com o sufixo ".src", vindo por exemplo de um anexo de email, faz com que o Windows execute o arquivo automaticamente — permitindo com qual algum vírus ou malware se instale.
Após ser executado no sistema, o trojan cria 02 processos "notepad.exe", baixa diversos arquivos e efetua consultas DNS:
O malware faz ainda, o download (30 mb) de um aplicação (Thumbnail), utilizada para redução de imagens, talvez com o objetivo de de diminuir o tempo de download da página:
Dentro dos arquivos do "notepad.exe" que estão rodando no host, o malware modifica as configurações do proxy, tipo:
"EnableAutoProxyResultCache"= "XXXXXXXXXX"
"EnableNegotiate"= "XXXXXXXXXXXXXX"
"ProxyEnable"="XXXXXXXXXXXXXXXX"
"AutoConfigURL"="XXXXXXXXXXXX"
"ProxyServer"="XXXXXXXXXXX"
"ProxyOverride"="XXXXXXXXXX"
De modo que ao tentar acessar sites como itau.com.br, bradesco.com.br e santander.com.br, o usuário é redirecionado para uma página falsa, na qual as imagens estão localizadas dentro da sua própria máquina:
Retirei o acesso à internet da máquina e efetuei requisições para os endereços destes bancos, verificando que mesmo sem o acesso da web, o trojan retorna para o usuário a imagem do phishing:
Phishing mal-feito:
A imagem é quase totalmente estática, todos os botões na página não funcionam exceto o campo para o usuário colocar a agência e a conta do banco. Coloquei dados falsos na imagem e verifiquei para onde o trojan envia eles:
Analisando os endereços e as requisições efetuadas pelo trojan, observei ainda que o mesmo baixa diversos componentes adicionais, "módulos" que acrescentam funções e atualizações, efetuando uma conexão para um destes endereços:
A página aparece com suas informações codificadas, parece ser algo como a Cifra de César, com a ajuda de um amigo, que desenvolveu um script em perl, consegui decodificar as informações:
Podemos observar até o endereço do banco de dados, para o qual o trojan deve enviar as informações bancárias coletadas e o contador registrando o número de usuários infectados.
Colocando o arquivo para análise do site especializado Virustotal, o trojan teve um nível de detecção baixo (7/41), pelas ferramentas de antivírus, sendo reportado como Trojan W32.Generic:
Nenhum comentário:
Postar um comentário