Por
Rafael Salema Marques, MSc
2nd of 1st Command and Control Group Commander (21GCC)
Publicado originalmente no Linkedin
Após críticas e sugestões de alguns amigos e conhecidos do último artigo, resolvi tentar mastigar bem os termos técnicos dessa vez, de forma que o texto seja o mais democrático possível, e que o conhecimento do golpe possa atingir várias possíveis vítimas antes dos nossos hackudos.
Esse reverse foi motivado por um colega que publicou em um grupo do whats o print do phishing. Pedi pra ele me encaminhar o email de forma que eu pudesse fazer uma análise comentada em um post, pois muita gente ainda cai nesse tipo de golpe.
Nosso algoz dessa vez utilizou uma técnica bem comum. O Phishing (Diga-se de passagem fez uso de um template bem caído).
Nesse ataque, o verdugo agressor provavelmente comprou ou conseguiu uma lista de e-mails válidos na internet (é só buscar por “lista de emails válidos” no google que pipoca um monte…) e utilizou um script com um template para enviar emails para a lista simulando uma mala direta de uma promoção da empresa CVC.
Nesse caso o atacante procura atingir o máximo de pessoas possível utilizando assuntos de interesse geral, de forma que gere uma coceira no dedo do mouse da vítima e o usuário não se aguente de curiosidade/ganância pra ganhar uma viagem 0800 no presente caso.
Ao clicar no link, o usuário é direcionado para o seguinte domínio:
http://www.systemaredir2017.com.br/02/??XXXX
Onde XXXX é o nome do usuário. Essa página de captura (Landing Page) geralmente é hospedada em um servidor comprometido pra aumentar a segurança da operação dificultando a rastreabilidade.
Em seguida, você recebe seu “VALE-VIAGEM-CVC”, um arquivo com extensão .js (javascript)
Esse tipo de arquivo tem sido muito utilizado como vetor, pois sua aparência no windows é de um pergaminho amarelo (que remete a um documento de texto) e não é um formato com má fama para o usuário comum, pois o dedo nervoso só teme .exe
Aqui vai a dica do post: Não clique de maneira alguma em anexos/arquivos .js
Nosso perverso atacante buscou ofuscar o código fonte do javascript, porém com uma catucada aqui e outra ali munido com o wscript.echo (comando para dar um print em variáveis e outros paranauês) em locais cirurgicamente escolhidos, descobri que a parte ofuscada é uma matriz com diversas strings que são chamadas no código. Além de dificultar a leitura do código, funciona bem atrapalhando a detecção pelos antivirus escondendo funções suspeitas. Dentre outras maldades ele baixa e executa um segundo .js que está com o endereço escondido na matriz ofuscada.
https://pxbwgypseb.nl
Aqui o malware baixa e executa o script em https://pxbwgypseb.nl/p2.php. Esse segundo script também tem partes ofuscadas. Utilizei a mesma técnica para clarear que gerou a seguinte matriz:
Aqui o bagulho começa a ficar sério… Ele caça por evidências de softwares de segurança de internet banking, faz uma consulta se o ip é brazuca, mexe no registro e etc… Está estudando a máquina e preparando o terreno…
Estava achando que seria outro tipo de malware mas tudo indica que é outro banker… São 02:00AM de segunda-feira e mais um banker mal feito deu uma baixada na moral, amanhã trabalho cedo… Talvez a operação já esteja desmontada, pois o executável não está disponível para baixar…
Enfim, o objetivo desse post específico é alertar para esse “novo” modus operandi onde o atacante não anexar arquivos .js no corpo do email, e sim em um link externo, pois alguns serviços de email estão bloqueando esse tipo de arquivo.
Para o pessoal técnico hoje fiquei devendo, pois esse espécime/operação eram bem simples… Prometo que compenso em uma próxima oportunidade. Felizmente, pelo viés da segurança, os nossos “muleque piranho vida loka” não querem saber de inovar, pois utilizam as mesmas traquinagens batidas com pequenas variações. Infelizmente, pelo lado do desafio da engenharia reversa, o cenário brasileiro ainda está bem defasado do resto do mundo. Se alguém tiver um estudo de caso bacana que queira um reverse entre em contato que assim que der uma tempinho a gente tenta dissecar.
Abraço!
