quarta-feira, 10 de junho de 2015

Velhas táticas, novas ameaças: Estudo sobre o novo vírus do Facebook

Como já deve ser do conhecimento de muitos, nesta ultima segunda-feira, 08/06, tivemos uma onda de ataques por vírus, disseminados através no Facebook, que consiste em marcar várias pessoas em uma publicação com conteúdo erótico, estimulando assim a curiosidade dos usuários, que ao clicarem nestes supostos vídeos, teriam suas máquinas infectadas e que passariam a ser um novo disseminador desta “praga”.

Dezenas de mídias digitais publicaram sobre essa ameaça, explicando superficialmente seu funcionamento e prometendo um passo-a-passo para sua remoção. Porém, a realidade é que nenhuma publicação abordou o tema de forma assertiva e completa, explicando como funciona o processo de infecção, disseminação e remoção. Você sabe o real motivador deste tipo de “praga” digital? Qual é o motivo ou ganho que os Hackers (se é que podemos chama-los assim) possuem em disseminar esse vírus, principalmente em redes social? Qual impacto é gerado aos usuários da rede?

Esta publicação visa justamente responder as essas perguntar, e ajudar os usuários na correta remoção e no entendimento de seu funcionamento.


A análise técnica

Primeiramente , localizamos uma destas publicações e posicionarmos o mouse sobre a imagem. Desta forma, teremos informações sobre o endereço a qual ela irá redirecionar.




Esta URL pode variar, sendo nesta análise a seguinte URL apontada:



A URL acima, apenas nos direciona para:





O código desta página foi “debugado” e um componente JavaScript foi localizado. Seu código estava Criptografado e foi necessário a utilização de um serviço para reversão do código.





De posse do código Descriptografado, a análise foi realizada, identificando que o mesmo força a instalação de uma Extensão (Plug-In) do Google Chrome, chamada “Selectra Audio Recorder”.




Com o auxílio de uma ferramenta On-Line, foi realizado o Download desta Extensão para uma posterior análise de seus artefatos.

As extensões do Google Chrome possui o formato .CRX, porém, para ter acesso ao seu conteúdo, basta renomea-lo para a extensão .ZIP e abri-lo com o WinRAR.





Neste caso, o arquivo malicioso estava nomeado como “backgroud.html” que que por sua vez, acionava 3 arquivos JavaScripts da pasta JS.






Embora cada um destes arquivos .js tinham funções distintas, em resumo, era realizado um redirecionamento para outras 2 URLs.




Sendo esta ultima URL a grande responsável por elaborar o conteúdo falso publicado no Facebook e que por fim, redirecionava o usuário ao sites apresentados a seguir.

Após uma longa análise de todos os códigos e “saltando” entre diversas URLs, chegamos um uma informação bem relevante, que nos apresenta a real intenção deste tipo de ameaça.

O trecho de código apresentado abaixo, nos direciona para o site:


Este site é responsável por criações de campanhas de publicidades para outros sites e serviços na Web, pagando aos colaboradores, que os ajudam a gerar acessos, por cliques realizados. O ID=2191 é referente ao “cliente” desta campanha, ou seja, o site que paga pelos serviços e que pretende ter o número máximos de acessos em seu sistema.




Durante o processo de redirecionamento, ainda existe a passagem por mais um site de publicidade Online, chamado:



Este cliente é apontado como uma site de relacionamentos, de fontes duvidosas, mas com milhares de acessos e possíveis cadastros.







Remova a ameaça de forma efetiva

O processo de eliminação deste vírus é muito simples, já que se trata de uma extensão do Google Chrome, basta acessar a página de extensão do seu navegador através da URL chrome://extensions e remover a extensão maliciosa, que neste caso é a “Selectra Audio Recorder”. Uma avaliação dos aplicativos instalados no seu Facebook também pode ser importante, podendo ser verificado nas suas configurações de “Preferência de Privacidade”, desinstalando todos os aplicativos que achar suspeito.





Vale ressaltar que, ao contrário do que muitas mídias dizem, alterar a senha do Facebook não afeta em nada o funcionamento do Malware e não garante a proteção do usuário, porém, claro que auxilia no processo de segurança de modo geral.



Conclusão

Embora muitas pessoas achem que este tipo de Vírus visa a captura de senhas do Facebook dos usuários, essa análise esclarece que o real objetivo deste tipo de ameaça, que utiliza redes sociais como meio para propagação, é o de gerar uma quantidade enorme de clicks que são automaticamente redirecionado para sites de campanhas web, promovendo um site final, como o site de relacionamento apontado neste estudo.

Os sites intermediários, de marketing digital, pagam por este volume de cliques, o que fomenta a criatividade dos Hackers em criarem mecanismos para alavancar a quantidade de cliques.


Nada melhor do que a maior rede de relacionamentos do mundo para ajudá-los nesta empreitada, não é verdade? Mesmo que seja sem o consentimento dos usuários, mas certamente este tipo de ação gera grandes benefícios financeiros. 

terça-feira, 9 de fevereiro de 2010

Análise de artefato - Parte 1


Introdução


Acredito que todos nós recebemos diariamente dezenas de e-mails não solicitados, sendo muitos deles Phishing.

A grande maioria destes Phishings utilizam Trojans para o roubo de informações, principalmente bancárias, incluindo mensagens que não tenham ligação com o assunto, como e-mails que dizem: "Você esta sendo traído... clique aqui para ver as fotos".


Objetivos

Demonstrar uma técnica de análise de artefato baseado em "Dump" de memória, com a finalidade e identificar o destino das informações capturadas pelos Trojans.


Procedimento

01 - Preparando o ambiente

É de extrema importância utilizarmos uma máquina virtual para a execução desta atividade, evitando que nossa máquina real (host) não seja infectada com o Trojan.

Outro detalhe é de não permitir que esta máquina virtual utilize conexão de rede. O ideal é utilizar um dispositivo 3G USB, pois vamos precisar de acesso à internet.














02 - Phishing

Neste caso a mensagem diz para clicar no link para realizar o download do comprovante.

Observamos, na parte inferior do browser, a URL para onde seremos direcionados.















03 - Download do artefato

Neste passo, iremos digitar a URL apresentada no e-mail. Notamos que nenhum site é aberto, apenas a mensagem de download do arquivo.

Salve este arquivo no Desktop.














04 - O artefato

Temos neste caso, um arquivo de extensão ".com" e é necessário que o usuário execute manualmente este arquivo para infectar a máquina.

A maioria dos Antivírus detectam este tipo de arquivo. Para os testes desabilite.




















05 - Execução do artefato

Execute o arquivo. Após sua execução é possível identificar uma série de alterações em nosso sistema.
- Criação de uma entrada no MSCONFIG, para a execução automática ao iniciar a máquina.
- Novo arquivo criado em pasta de Profile. Obs: oculto
- Novo processo, mostrando sua execução no sistema.















06 - Dump da memória

Com todas as informações coletadas acima, vamos realizar um Dump da memória utilizando uma ferramenta chamada Winhex.

Abra o Winhex, clique em "Tools / open RAM". Na lista de processos apresentada, encontre o processo em questão. Expanda o processo e clique em "Entire Memory".
















07 - Capturando senhas

O dump da memória referente ao processo é apresentado. Clique em localizar e procure por palavras como "senha, pass, password, user, username, sql", etc...

Neste caso, digitei a palavra "Password" para localizar. Após algumas buscas, foi possível localizar as informações de "User ID=usuário do DB", "Password=senha do DB" e "Data Source=caminho do DB".















08 - Acessando os dados

Após conseguir todas as informações referentes ao Banco de Dados SQL, vamos ao que interessa... acessar as tabelas.

Utilizei o SQL Server 2008 para acessar este DB. Apenar crie uma nova conexão, informado os dados acima coletados. Pronto.. temos acesso a todas as tabelas. Agora é só fazer as Query.















Conclusão


Podemos utilizar estas técnicas para coletar evidências relativas a fraude que possam ocorrer dentro das organizações.

É importante citar que para executar esta atividade é necessário ter autorização judicial. Caso contrário o jogo pode inverter, e você, antes vítima, pode passar a ser o acusado. Não entendo muito sobre esta parte jurídica. Se algum puder colaborar, explicando aos colega como funciona eu agradeço.

Para a Parte 2, vou apresentar uma análise de artefato utilizando Engenharia Reversa com as ferramentas OllyDBG, PE-Explorer, PEiD, e outras.

Espero ter colaborado com boas informações!

Abraços!

domingo, 31 de janeiro de 2010

Bem vindos

Caros colegas,

Hoje deixei a preguiça de lado e resolvi criar meu primeiro Blog.

Minha expectativa é poder compartilhar o pouco da experiência que tenho em Segurança da Informação, algumas novidades e atividades do meu dia-a-dia e aumentar o ciclo de amizades com todos os grandes profissionais da área.

Mesmo com o pouco tempo para gerenciar um Blog, vou tentar postar informações interessantes. Espero poder comtribuir com todos vocês.

Sejam todos bem vindos!

Abraços.