![\"Figura](\"http:\/\/blog.trendmicro.com.br\/wp-content\/uploads\/2015\/05\/image1.png\")
<\/a><\/p>\nFigura 1: Instru\u00e7\u00e3o malicioso no c\u00f3digo fonte da p\u00e1gina<\/p>\n
A tag <script> do HTML \u00e9 utilizada para executar scripts no navegador do usu\u00e1rio. O atacante, no caso, utilizou o par\u00e2metro \u201csrc\u201d, que for\u00e7a o navegador a baixar e renderizar c\u00f3digo em uma URL espec\u00edfica, mesmo que esta aponte para outro host e que nem mesmo seja um script, mas uma p\u00e1gina HTML inteira, que \u00e9 o caso do ataque.<\/p>\n
Ao concordar com a suposta atualiza\u00e7\u00e3o, o usu\u00e1rio \u00e9 induzido a baixar (e executar) um arquivo chamado \u201cflashplayer_install.exe\u201d, nome escolhido criteriosamente para induzir as v\u00edtimas.<\/p>\n
<\/p>\n
Figura 2: Requisi\u00e7\u00e3o de download da amea\u00e7a pelo navegador<\/p>\n
Este arquivo funciona como um \u201cdownloader\u201d, ou seja, baixa da Internet outros arquivos maliciosos. Neste caso, observamos que ao executar o \u201cflashplayer_install.exe\u201d numa m\u00e1quina de testes, foram baixados um script PAC\u00a0(Proxy Auto Connect)<\/a>\u00a0e um outro script em\u00a0VBScript<\/a>, completamenteofuscado<\/a>, como mostra a imagem abaixo:<\/p>\n Figura 3: C\u00f3digo ofuscado do script baixado pelo malware<\/p>\n Numa tentativa de n\u00e3o levantar suspeitas, o script \u00e9 baixado com o nome \u201cnmscrp.gif\u201d, sugerindo aos usu\u00e1rios mais atentos ou administradores de rede que porventura filtrem os logs de acesso de seus usu\u00e1rios, que se trata de o download uma imagem GIF, o que n\u00e3o \u00e9 verdade.<\/p>\n Os arquivos s\u00e3o salvos no diret\u00f3rio %ProgramData%, j\u00e1 com novos nomes: \u201cjava.u\u201d \u00e9 o PAC script, \u201cwinWeb.vbs\u201d \u00e9 o script em VBScript, e \u201c99\u201d \u00e9 possivelmente o contador de infec\u00e7\u00f5es, como a imagem abaixo retrata:<\/p>\n Figura 4: Pasta ProgramData onde est\u00e3o os arquivos salvos<\/span><\/p>\n A t\u00e9cnica de ofusca\u00e7\u00e3o do arquivo\u00a0winWeb.vbs<\/i>\u00a0baseia-se na fun\u00e7\u00e3o\u00a0chr()<\/i>\u00a0do VBScript que retorna a representa\u00e7\u00e3o gr\u00e1fica de um n\u00famero na faixa da tabela\u00a0ASCII(ref)<\/i>. A mesma t\u00e9cnica foi utilizada no comprometimento do site\u00a0Gizmodo Brasil<\/i>\u00a0no in\u00edcio deste ano, para o qual o pesquisador\u00a0Fernando Merc\u00eas<\/a>\u00a0criou um script para desofusca\u00e7\u00e3o (t\u00e9cnica para retirar a ofusca\u00e7\u00e3o).<\/p>\n No caso desta amea\u00e7a, iremos utilizar a solu\u00e7\u00e3o Deep Discovery A N, ou somente\u00a0DDAN<\/a>, da Trend Micro, para analisar o funcionamento do malware, incluindo o script em\u00a0VBScript<\/i>.<\/p>\n Algumas das fun\u00e7\u00f5es do malware encontrado s\u00e3o:<\/p>\n 1 \u2013 Desativar UAC (Controle de Acesso de Usu\u00e1rio) no Sistema Operacional<\/b><\/p>\n Figura 5: Relat\u00f3rio de modifica\u00e7\u00f5es do malware (DDAN \u2013 Trend Micro)<\/span><\/p>\n Dessa forma, algumas a\u00e7\u00f5es que antes n\u00e3o eram poss\u00edveis por conta de n\u00edveis de privil\u00e9gio, passam a ser.<\/p>\n 2 \u2013 Conectividade<\/b><\/p>\n O malware deseja saber se possui acesso \u00e0 Internet, requisito para seu funcionamento. Ele faz isso simplesmente tentando resolver o nome de seu servidor C&C e testando a conectividade com ele atrav\u00e9s de troca de pacotes ICMP iniciada pelo comando ping.<\/p>\n Figura 6: Relat\u00f3rio de cria\u00e7\u00e3o de processos pelo malware (DDAN \u2013 Trend Micro)<\/p>\n 3 \u2013 Utiliza\u00e7\u00e3o de t\u00e9cnicas \u201cAnti-security\u201d<\/b><\/p>\n \u00c9 cada vez mais comum a utiliza\u00e7\u00e3o de t\u00e9cnicas que permitem \u00e0 amea\u00e7a detectar se est\u00e1 sendo analisada. Um exemplo \u00e9 o uso de t\u00e9cnicas de detec\u00e7\u00e3o de execu\u00e7\u00e3o em m\u00e1quinas virtuais (anti-VM), em ambientes controlados (anti-sandbox), ou mesmo a combina\u00e7\u00e3o delas. O malware em quest\u00e3o utiliza uma delas, conforme a imagem abaixo revela:<\/p>\n Figura 7: Relat\u00f3rio de anti-security do malware (DDAN \u2013 Trend Micro)<\/p>\n A t\u00e9cnica escolhida foi a de aguardar um grande per\u00edodo de tempo antes de come\u00e7ar de fato a execu\u00e7\u00e3o maliciosa. Dessa forma, o criador do malware planejou evadir as detec\u00e7\u00f5es por sandbox, que precisam estabelecer um limite de tempo para execu\u00e7\u00e3o de um artefato. O DDAN \u00e9 capaz de detectar esta t\u00e9cnica e \u201cenganar\u201d a amea\u00e7a, for\u00e7ando a execu\u00e7\u00e3o antes do t\u00e9rmino do per\u00edodo de espera.<\/p>\n 4 \u2013 Configura\u00e7\u00e3o maliciosa de proxy<\/b><\/p>\n Esta \u00e9 uma importante etapa na cadeia de infec\u00e7\u00e3o, onde de fato ser\u00e1 gerada toda arquitetura do ataque para roubo de dados banc\u00e1rios.<\/p>\n \u00a04.1 \u2013 No registro do Windows achamos o seguinte dado<\/b><\/p>\n Figura 8: Registro do Windows na parte de Proxy<\/p>\n 4.2 \u2013 Ao abrirmos este arquivo (javau.n) notamos o seguinte c\u00f3digo:<\/b><\/p>\n Figura 9: C\u00f3digo do arquivo PAC<\/p>\n Este c\u00f3digo representa um arquivo de configura\u00e7\u00e3o conhecido como PAC que, ao ser utilizado, permite a um navegador definir qual ser\u00e1 a configura\u00e7\u00e3o para o proxy. Podemos observar que s\u00e3o declaradas duas vari\u00e1veis com strings aleat\u00f3rias: embaixo existe um \u201cfor\u201d (condicional) que realiza um pequeno tratamento da ofusca\u00e7\u00e3o das strings. Tamb\u00e9m podemos verificar algumas caracter\u00edsticas como as strings: \u201cHS\u201d \u201cBC\u201d, \u201cIT\u201d e \u201cAU\u201d, que fazem refer\u00eancia a nomes de bancos.<\/p>\n A fun\u00e7\u00e3o\u00a0ShExpMatch<\/i>\u00a0trar\u00e1 o \u201creturn\u201d mencionado no c\u00f3digo acima caso as strings dos bancos sejam encontradas nas comunica\u00e7\u00f5es de rede da m\u00e1quina.<\/p>\n Fizemos um tratamento no\u00a0return<\/i>\u00a0para entendermos o que ele nos retorna, para isso utilizamos a ferramenta \u201cpactester\u201d.<\/p>\n Resultado:<\/p>\n Figura 10: Ferramenta pactester utilizada para testar arquivos do tipo PAC<\/p>\n Com isso, conseguimos concluir que todo tr\u00e1fego relacionado a site de bancos \u00e9 redirecionado para uma URL maliciosa, como o proxy mencionado acima.<\/p>\n Um tipo de controle que o atacante possui de seus alvos est\u00e1 baseado no registro do nome da m\u00e1quina v\u00edtima, como mostra a imagem abaixo:<\/p>\n Figura 11: Relat\u00f3rio de comunica\u00e7\u00e3o de rede (DDAN \u2013 Trend Micro)<\/p>\n \u00c9 importante observar que o proxy n\u00e3o funciona como uma captura dos acessos entre a m\u00e1quina e o site do banco, ele funciona como um falso site banc\u00e1rio (phishing<\/i>).<\/p>\n Site do Ita\u00fa acessado com conta falsa. Como sempre, importante observar a URL e os detalhes do site:<\/p>\n Figura 12: Site falso do Ita\u00fa \u2013 Phishing<\/p>\n Captura do tr\u00e1fego apontando para o IP malicioso:<\/p>\n Figura 13: Comunica\u00e7\u00e3o de rede ap\u00f3s infec\u00e7\u00e3o do malware (Wireshark)<\/p>\n Esta captura nos trouxe o IP \u201c146.0.79.197\u201d em que o m\u00e9todo GET (requisi\u00e7\u00e3o para entrar no site) para o site do ITAU foi feito. Nesta parte, conseguirmos fazer a compara\u00e7\u00e3o dos IPs do site do ITAU e do IP onde \u00e9 feita requisi\u00e7\u00e3o falsa, confirmando o\u00a0phishing<\/i>.<\/p>\n Captura dos dados da comunica\u00e7\u00e3o:<\/p>\n Figura 14: Detalhes da comunica\u00e7\u00e3o de rede com a falsa p\u00e1gina banc\u00e1ria (Wireshark)<\/p>\n Nesta captura foram passados alguns par\u00e2metros em texto claro pela conex\u00e3o se tratar de HTTP e n\u00e3o HTTPS (Security), o que a maioria das institui\u00e7\u00f5es de banco utiliza. \u201cConta=11111-1\u201d e \u201cagencia=1111\u201d.<\/p>\n Estamos observando um grande aumento na complexidade dos ataques sobre quest\u00f5es financeiras, neste ataque observamos tr\u00eas caracter\u00edsticas planejadas:<\/p>\n 1 \u2013 Invas\u00e3o de um site muito acessado:<\/b>\u00a0Os atacantes utilizaram uma vulnerabilidade nos sistemas de seguran\u00e7a do site n\u00e3osalvo.com.br e malicia.com.br para criarem um sistema de \u201cDisease Vector<\/a>\u201d propagando o malware para diversas m\u00e1quinas pela Internet.<\/p>\n 2 \u2013 Infec\u00e7\u00e3o de m\u00e1quina e configura\u00e7\u00e3o de proxy:<\/b>\u00a0Os atacantes infectam a m\u00e1quina do usu\u00e1rio final e for\u00e7am a configura\u00e7\u00e3o de um proxy no intuito de fazer o redirecionamento quando s\u00e3o encontradas comunica\u00e7\u00f5es destinadas a bancos brasileiros.<\/p>\n 3 \u2013 Phishing de bancos brasileiros:<\/b>\u00a0Os atacantes clonaram os sites de bancos comuns no Brasil, possibilitando o roubo de dados sens\u00edveis do usu\u00e1rio.<\/p>\n Um ponto importante \u00e9 que o com\u00e9rcio de malwares banc\u00e1rios \u00e9 comumente encontrado no submundo brasileiro, facilitando o trabalho dos atacantes.<\/p>\n Hash dos arquivos:<\/strong><\/p>\n javau.n (PAC File) = a3167213672e4f4be55b7bb712edb1c7<\/em><\/p>\n winWeb.vbs (VBS File ofuscado) = 1022305ac58b657f8c46cfc2c45756da<\/em><\/p>\n flashplayer_install.exe = 9bc339d00f5e5ac9b1a880f6bbee3b8d<\/em><\/p>\n Continue acompanhando nosso blog, saiba quais s\u00e3o as ultimas amea\u00e7as cibern\u00e9ticas e aprenda a se proteger na rede!\u00a0Algum coment\u00e1rio sobre essa postagem? Fale com a gente no twitter@TrendMicroBR<\/a>!<\/p>\n Refer\u00eancias:<\/b><\/p>\n 1 \u2013\u00a0\u00a0http:\/\/en.wikipedia.org\/wiki\/Proxy_auto-config<\/a><\/p>\n 2 \u2013\u00a0http:\/\/pt.wikipedia.org\/wiki\/VBScript<\/a><\/p>\n 3 \u2013\u00a0http:\/\/en.wikipedia.org\/wiki\/Obfuscation_%28software%29<\/a><\/p>\n 4 \u2013\u00a0http:\/\/www.youtube.com\/watch?v=mHjcemjzWVo<\/a><\/p>\n 5 \u2013\u00a0http:\/\/www.trendmicro.com.br\/cloud-content\/br\/pdfs\/141117_mercadosubmundobr.pdf<\/a><\/p>\n<\/p>\n<\/p>\n<\/p>\n<\/p>\n<\/p>\n<\/a><\/p>\n<\/p>\n<\/a><\/p>\n<\/p>\n<\/p>\n<\/p>\n<\/a><\/p>\n