Não é de hoje que cibercriminosos têm usado o tema “Copa do Mundo” para atrair cada vez mais vítimas, na semana passada analisei um artefato que apresentou algumas características novas e um pouco interessantes.
A falsa promoção de ingressos para os jogos da Copa chega por email, ao clicar no link o usuário é direcionado para um domínio xxxxxxx.ec.cx, com um template falso do site ingresso.com:
Ao clicar no link para baixar o termo do contrato, o usuário efetua o download do arquivo 'GanhadorCopa2014RequerimentoPadrao.pdf.cpl', que na realidade é um trojan bancário.
1. Execução:
Ao clicar sobre o arquivo, uma tela de erro é exibida informando que o arquivo está corrompido e não pode ser aberto:
Este recurso é utilizado por fraudadores com o intuito de levar o usuário a acreditar que nada fora do normal está sendo executado na sua máquina, no entanto, verificando o tráfego gerado pelo host infectado, é possível observar diversas requisições efetuadas após a execução do malware.
2. Características (debug):
O malware cria uma pasta no sistema "programdata" e efetua o download de 05 arquivos:
a.) "iustrymon.cpl" - rensponsável por efetuar alterações no registro do sistema operacional, uma destas alterações é o bloqueio de outros navegadores instalados no sistema:
A finalidade desta alteração é a de forçar o usuário a utilizar o Internet Explorer para navegação na web, se o usuário tentar abrir outros navegadores como Firefox ou Chrome, uma tela de erro é exibida:
b.) "wlancache.cpl" e "wlanwebeoIE.dll" - são feitos na linguagem delphi e possuem packer de proteção (Fake Ninja v2.0):
O "wlanwebeoIE.dll", insere um Keylogger no Internet Explorer, os dados digitados pelo usuário são enviados e armazenados no arquivo "wlancache.cpl" , o qual possui uma interface semelhante a um cabeçalho de email::
c.) "itype.exe" - O pulo do gato vem agora neste arquivo, o malware utiliza o software clickyesspro para alterar as configurações de segurança do Microsoft Outlook.
Deste modo além de configurar quais aplicativos podem enviar e-mails automaticamente, sem o consentimento do usuário, ele também tem acesso aos endereços de e-mails armazenados no livro de endereços do Outlook, podendo enviar o trojan para outras vítimas;
3.) Tráfego Web:
O tráfego gerado pelo trojan é bem sucinto, não chamando muita atenção, das URL's observadas através do wireshark, foi possível observar o endereço de armazenamento dos emails capturados através de outras máquinas infectadas:
E o contador de infects, no qual o fraudador tem o controle de quantas máquinas foram infectadas pelo referido trojan, nele podemos observar a data da infecção, o nome da máquina, o sistema operacional e a versão do navegador (IE):
Para finalizar, temos o Keepalive do trojan, muitos fraudadores utilizam endereços da web, ex: google.com, msn.com, dentre outros..., para testar a conexão do host infectado com a web, este fraudador aqui adotou o tipo "ostentação", saca a imagem que aparece no keepalive:
Arquivo foi submetido ao site especializado VirusTotal, tendo um nível de detecção baixo: 12/51.
Até a próxima!!!
Nenhum comentário:
Postar um comentário