Loja virtual 100% segura hospedando malwares. Como?


Com essa mensagem inicio a análise de um malware que hospedava seus arquivos maliciosos nessa loja virtual (invadida) anunciada como 100% segura. Ainda no decorrer do artigo também entenderemos por que quando há um proxy configurado no navegador por um malware não conseguimos removê-lo nem apagando as chaves no registro do Windows.

Let's do it!

Tentei falar com vc no msn, nao me respondeu”

Esse malware chegou através da velha isca da conversa do MSN que pede para ver a foto. Alguém ainda cai nisso? Sim, muitos, como veremos adiante.


Ao clicar no link do e-mail foi feito download do arquivo:

DSC_1709235674.JPG.exe (MD5: 8b29998982c17b22ae3af24e650e0896)

Quando executado pela primeira vez o arquivo faz uma cópia de si mesmo em “C:\Windows\sevenup.exe”. Também cria uma chave no registro para ser executado automaticamente a cada inicialização do Windows, conforme podemos ver com a ajuda do Regshot e Autoruns abaixo.



Mesmo ele alterando seu nome para sevenup.exe continua sendo o mesmo arquivo já que o MD5 é o mesmo.

Por fim ele acessa uma página PHP que estava hospedada na loja virtual citada no início.


Agora quando tentamos executá-lo manualmente pela segunda vez ele exibe uma mensagem de erro.


Então deve ter alguma proteção para garantir que seja executado somente na inicialização do sistema. Como conseguiremos capturar os eventos do malware? Até o Windows todo carregar para conseguir executar nossas ferramentas de análise o malware já terá feito muita coisa.

Capturando eventos na incialização do Windows

Para realizar essa tarefa o Process Monitor tem uma opção muito útil no menu Options – Enable Boot Logging.


Dessa forma ele executará também junto com o sistema, capturando todos os eventos do malware desde o início.

No Regshot também há um truque que podemos utilizar, o funcionamento básico do programa é: tira uma “foto” antes de executar o malware, tira outra “foto” após o malware ser executado e compara as duas para descobrir as alterações feitas no sistema de arquivos e registro.

Sendo assim podemos tirar a primeira “foto” antes de reiniciar o sistema e salvar o arquivo, depois do reinício carregamos a primeira foto (Load), tiramos a segunda e comparamos normalmente.


A desvantagem desse método é que como a própria inicialização do Windows já provoca várias modificações no sistema o resultado da comparação será extenso, cabe a nós separmos o que foi provocado pelo malware e o que é legítimo do Windows.

Feito isso reiniciamos o sistema e o sevenup.exe foi executado. Nas muitas linhas que o Regshot gerou duas chamaram atenção.

Valores modificados no registro:

HKU\...\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL:
"http://XXXXXXXXX/images_produtos/home/home/p.pac"

Arquivos modificados:

C:\Documents and Settings\Administrador\Dados de aplicativos\
Mozilla\Firefox\Profiles\2z49u0qt.default\prefs.js

Na primeira vemos claramente que foi adicionado uma script de proxy automático no Internet Explorer.


Na segunda vamos ver o que há nesse arquivo pref.js do diretório do Firefox.


Através do arquivo pref.js é feita a configuração automática de proxy no Firefox.


Mesmo que desativamos essas configurações de proxy automático nos navegadores ou apagamos a chave do registro e as modificações no pref.js elas continuam lá. Por que isso acontece?

Porque existe um processo rodando em loop infinito monitorando essas opções, no mesmo segundo que apagamos ele vai lá e insere novamente. Podemos ver parte dessa execução na tela abaixo obtida com o Process Monitor.


Análise Web

Descobrimos que a função do malware é configurar um proxy automático nos navegadores das vítimas, vamos agora analisar esse site que está hospedando o arquivo do proxy p.pac e aquele primeiro novo.php que o malware acessou.

Ao acessar a URL da pasta onde estavam os arquivos foi possível constatar que estava sem index listando assim todo seu conteúdo.


O conteúdo do arquivo p.pac como era de se esperar fazia referência a URLs bancárias redirecionando o tráfego para o IP 74.63.232.195:80.


Na pasta 1 havia um log com todos as pessoas que haviam sido infectados, ou seja, quando o malware acessa aquela URL novo.php ele salva nessa pasta um registro de data e hora para o controle de quantos foram infectados.


E ainda o arquivo log.php é uma interface amigável para o “gerente do negócio” verificar quantos “pedidos” recebeu:


Em 24 horas que monitorei foram inseridos 254 arquivos nessa pasta, então pode-se dizer que mais de 200 pessoas caíram nesse golpe em apenas um dia. Lembrando que todos esses arquivos estavam dentro da loja virtual.

Conclusão

Assim que eu descobri o site infectado comuniquei para três e-mails diferentes de contato que havia na loja virtual, dois voltaram pois não existiam mais e o outro nunca foi respondido.

Não satisfeito consultei o whois do site e encontrei outro e-mail do responsável pelo domínio e possivelmente desenvolvedor do site. Esse me retornou prontamente de forma educada, apagou os arquivos maliciosos imediatamente e ainda pediu dicas de segurança para deixar o site mais seguro.

A ideia do artigo não é criticar essa loja virtual em si mas alertar para a segurança das transações financeiras que realizamos pela Internet, muitos sites dizem respeitar a privacidade, que nossos dados não serão divulgados, que está protegido, a prova de “hackers”, criptografado e tudo mais, até onde isso é verdade? Como sempre, devemos ter muito cuidado já que não há sistemas 100% seguros.

7 comentários:

  1. Nota 10 como sempre
    Ótimo post seguindo a tradição do blog
    Se você quisesse partir pro mal, poderia facilmente roubar diversas contas sem ao menos programar um Malware ou algo do gênero. Só fazendo a engenharia reversa e puxando o que os carders, e bankers já conseguiram
    hehe

    Está de parabéns como sempre
    Abração

    ResponderExcluir
  2. Show de bola como todas as outras analises!
    Acompanho sempre seu blog!
    Continue com o ótimo trabalho!
    Abraço

    ResponderExcluir
  3. como pode com hoje 04/10/11 estar esse malware ainda? que equipe de TI esta cuidando??? por isso faltam tantos profissionais(competentes)na area!!! parabens exelente trabalho, não querendo ser puxa saco mais esse blog esta nota 10!

    ResponderExcluir
  4. Opa essa analise foi fina... posso replicar no gustavofranco.com referênciando?

    ResponderExcluir
  5. Gustavo, com certeza, fique à vontade.
    Abraço!

    ResponderExcluir

Related Posts Plugin for WordPress, Blogger...