terça-feira, 15 de abril de 2014

Olá, Ingresso.com lhe presenteou para Copa do Mundo 2014!



    Não é de hoje que cibercriminosos têm usado o tema “Copa do Mundo” para atrair cada vez mais vítimas, na semana passada analisei um artefato que apresentou algumas características novas e um pouco interessantes.

    A falsa promoção de ingressos para os jogos da Copa chega por email, ao clicar no link o usuário é direcionado para um domínio xxxxxxx.ec.cx, com um template falso do site ingresso.com:

Ao clicar no link para baixar o termo do contrato, o usuário efetua o download do arquivo 'GanhadorCopa2014RequerimentoPadrao.pdf.cpl', que na realidade é um trojan bancário.

 1. Execução:

Ao clicar sobre o arquivo, uma tela de erro é exibida informando que o arquivo está corrompido e não pode ser aberto:



Este recurso é utilizado por fraudadores com o intuito de levar o usuário a acreditar que nada fora do normal está sendo executado na sua máquina, no entanto, verificando o tráfego gerado pelo host infectado, é possível observar diversas requisições efetuadas após a execução do malware.


2. Características (debug):

O malware cria uma pasta no sistema "programdata" e efetua o download de 05 arquivos:

a.) "iustrymon.cpl" - rensponsável por efetuar alterações no registro do sistema operacional, uma destas alterações é o bloqueio de outros navegadores instalados no sistema:


A finalidade desta alteração é a de forçar o usuário a utilizar o Internet Explorer para navegação na web, se o usuário tentar abrir outros navegadores como Firefox ou Chrome, uma tela de erro é exibida:


b.) "wlancache.cpl" e "wlanwebeoIE.dll" - são feitos na linguagem delphi e possuem packer de proteção (Fake Ninja v2.0):



O "wlanwebeoIE.dll", insere um Keylogger no Internet Explorer, os dados digitados pelo usuário são enviados e armazenados no arquivo "wlancache.cpl" , o qual possui uma interface semelhante a um cabeçalho de email::



c.) "itype.exe" - O pulo do gato vem agora neste arquivo, o malware utiliza o software clickyesspro para alterar as configurações de segurança do Microsoft Outlook. 



Deste modo além de configurar quais aplicativos podem enviar e-mails automaticamente, sem o consentimento do usuário, ele também tem acesso aos endereços de e-mails armazenados no livro de endereços do Outlook, podendo enviar o trojan para outras vítimas;

3.) Tráfego Web:

O tráfego gerado pelo trojan é bem sucinto, não chamando muita atenção, das URL's observadas através do wireshark, foi possível observar o endereço de armazenamento dos emails capturados através de outras máquinas infectadas:


E o contador de infects, no qual o fraudador tem o controle de quantas máquinas foram infectadas pelo referido trojan, nele podemos observar a data da infecção, o nome da máquina, o sistema operacional e a versão do navegador (IE):

Para finalizar, temos o Keepalive do trojan, muitos fraudadores utilizam endereços da web, ex: google.com, msn.com, dentre outros..., para testar a conexão do host infectado com a web, este fraudador aqui adotou o tipo "ostentação", saca a imagem que aparece no keepalive:


Arquivo foi submetido ao site especializado VirusTotal, tendo um nível de detecção baixo: 12/51.

Até a próxima!!!









Nenhum comentário:

Postar um comentário