A velha isca do boleto.

Eis um termo típico, encontrado nas mensagens de e-mail fraudulentas, de origem brasileira: boleto bancário. O boleto é uma forma de pagamento “offline” e adotada somente no Brasil, sendo aderida por milhões de consumidores (e contribuintes) locais. Sua popularidade, rendeu o início de uma “onda” de ataques cibernéticos locais, em meados de 2013, onde até os dias atuais pode ser encontrada, porém, em uma escala menor.

Antes mesmo dessa citada “onda”, o termo já era utilizado como “isca” para acesso a páginas de phishing (e posteriormente, preenchimento de dados pessoais em formulários), e mais comumente, a download de programas maliciosos.

Este artigo, descreverá alguns detalhes de uma mensagem de e-mail fraudulenta encontrada, e dos códigos maliciosos, relacionados a ela.

A mensagem distribuída já é um grande indicativo de perigo, quando analisado critérios gramaticais e os citados anteriormente. O link embutido é outro ponto a ser considerado, pelo fato de conter o nome de uma rede varejista multinacional, a qual não tem relação alguma com o texto contido na mensagem.

Com uma simples consulta, em um mecanismo de busca qualquer, é possível encontrar uma publicação, em um blog da plataforma Blogger, com o mesmo texto praticamente da mensagem analisada.

O clique no link, resulta no download de arquivo compactado, no formato ZIP. Descompactando-o, dois arquivos são exibidos: um executável Java (.jar) com função de downloader, e um documento de texto (.txt).

Algo curioso (e de certa forma incomum) é que o documento de texto, contém o link direto para download do arquivo compactado.

A classe principal (.class) do arquivo executável Java possui algumas particularidades (e curiosidades). Nas primeiras linhas do método principal, uma instrução faz o navegador do computador comprometido, abrir o site oficial para download, do programa de instalação do Java. A instrução seguinte, realizará uma consulta em um site, para detectar se o malware, está sendo executado em um dispositivo, supostamente localizado no Brasil. Caso não esteja, o processo malicioso será encerrado.

Evidentemente, o estágio final (e principal) do ataque, é justamente direcionar o download do payload malicioso para usuários brasileiros, por uma única razão (óbvia por sinal): coletar dados de clientes de instituições financeiras locais.

Curiosamente, esse downloader tem duas características notáveis: suas variáveis possui nomes “estranhos”, porém, as strings estão em texto claro. Isso fica evidente, no trecho onde é possível identificar, o diretório a ser criado, dentro de uma pasta específica do sistema operacional Windows, e o nome e o formato da carga maliciosa final.

Nesse processo são descarregados também, outros arquivos: duas DLLs e um documento de texto. O downloader adiciona uma chave no registro do Windows, para que o artefato final, execute toda vez que o sistema operacional for inicializado.

No entanto, quando executado em um computador, onde não encontra-se instalado, aplicativos de segurança relacionados a certas instituições bancárias brasileiras, o malware não realiza nenhuma rotina “interessante” (a não ser a procura de pastas relacionadas a esses aplicativos). E seguidamente, o mesmo finaliza sua execução.

Quando executado em um ambiente, com um aplicativo de segurança de uma instituição bancária qualquer, e em seguida (ou em outro momento), ocorre o acesso ao site da mesma instituição (ou de outra), o comportamento do malware muda instantaneamente. No momento da análise, foi possível detectar várias tentativas de conexão com um endereço específico.

O artefato malicioso escrito em Delphi, usa um crypter para “dificultar” uma possível análise. Tanto o malware como uma das DLLs descarregadas, usam uma função importada da API do Windows, para detectar uma possível processo de debug.

Mesmo após dias (mais do que a data de submissão no VirusTotal) do início dessa campanha, o cavalo de troia bancário possui uma baixa taxa de detecção, por parte das soluções de segurança.

Conclui-se com essas informações, dois pontos interessantes: o êxito ainda existente em usar termos, comumente relacionados a fraudes financeiras no Brasil, e que, alguns malwares estão a procura de “ambientes” favoráveis as suas finalidades.

Colaborador do Malwareverse Brasil.

Leave a reply:

Your email address will not be published.