Escolar Documentos
Profissional Documentos
Cultura Documentos
Informação S.A.
Av. Eng. Duarte Pacheco, 26 – Piso 7
1070-110 Lisboa, Portugal
Telefone: +351 213 405 250
FAX: +351 21 340 5259
www.sysvalue.com | info@sysvalue.com
A informação aqui contida deverá ser mantida confidencial e utilizada apenas para os fins em que este
documento se insere. Nenhuma parte deste documento ou do seu conteúdo informativo pode ser
reproduzida, alterada, transmitida a terceiros ou utilizada fora do âmbito do projecto em que o
presente documento se insere, sem o consentimento expresso da SysValue, Consultoria, Integração
e Segurança em Sistemas S.A.
A SysValue, Consultoria, Integração e Segurança em Sistemas S.A. assegura que todos os dados fornecidos
pelo cliente serão mantidos confidenciais e utilizados apenas no âmbito do projecto em que se insere este
documento, não sendo transmitidos a terceiros sem a autorização expressa do cliente.
Tiago Pereira
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
Índice
1. INTRODUÇÃO ......................................................................................................................................................... 4
1. Introdução
A Sysvalue identificou um falso email da EDP como o provável veículo de propagação de malware tendo como alvo bancos
nacionais. Foi efectuada uma análise aos ficheiros distribuídos por este email, de forma a validar se estaríamos perante um
ataque aos utilizadores de serviços de banca online Portugueses, à semelhança do que tem acontecido no passado, por
exemplo com um email da EDP. Durante a análise, verificou-se que se trata de facto de um ataque com malware aos s
clientes de um conjunto de Bancos Portugueses.
Este documento está organizado da seguinte forma:
1. Introdução - A presente Introdução;
2. Sumário executivo – Um sumário executivo, contendo uma versão condensada dos resultados da análise;
3. Análise detalhada – Esta secção contem uma análise detalhada do malware analisado, e está organizada de acordo com o
cliclo de vida do malware:
• O método de propagação, ou seja, a forma como o malware chega ao sistema vítima (e.g. email, drive by
download, exploits de rede);
• O método de infecção, ou seja, a forma como, uma vez no sistema do utilizador, o malware de instala no sistema e
assegura a sua persistência (e.g. Análise da comunicação de rede efectuada durante a instalação, ficheiros criados,
chaves do registry alteradas);
• O método de Comando – Uma vez instalado no sistema, a forma como este comunica com o atacante para receber
comandos ou transmitir dados (identificação de servidores de comando e controlo, análise do protocolo de rede);
• As capacidades do malware – São através de engenharia reversa do malware e através de análise comportamental,
identificadas as funcionalidades presentes no malware (e.g. acesso remoto, Man in the browser, Proxy de rede,
roubo de credenciais);
• O modo de operação – Uma vez identificadas as capacidades do malware, é feita uma análise de como o atacante
utiliza o malware para atacar as vitimas. Esta secção sempre que possível terá exemplos gráficos do malware em
execução.
4. Recomendações – Esta secção contem um conjunto de recomendações de medidas que poderão ser aplicadas para
reduzir o impacto do ataque;
Anexo A - Este anexo contem o resumo da detecção por parte de sistemas antivírus utilizando a ferramenta virustotal;
Anexo B – Este anexo contem um resumo dos indicadores (e.g. ficheiros, chaves de registry, mutexes, hosts) que podem ser
utilizados para detectar este malware quando é analisado um sistema infectado ou através da análise de trafego de rede.
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
2. Sumário executivo
2.1 Contextualização da ameaça
Este malware é utilizado por um grupo de atacantes com origem no Brasil que tem vindo a atacar um conjunto de bancos
Portugueses com ataques de phishing, em que são enviadas mensagens de email falsas em nome dos bancos alvo e que
elevam os utilizadores a aceder a um site também falso, com a imagem do banco onde são levados a introduzir as suas
credenciais e autenticação.
A Sysvalue tem vindo a acompanhar as acções deste grupo de atacantes desde Outubro de 2013, tendo sido observado no
inicio do mês de Abril de 2014 uma alteração no modo de operação habitual do grupo, que consistia na realização de
ataques de phishing simples, para a utilização de malware que infecta os PC’s dos utilizadores com o objectivo de roubar
credenciais de acesso a sites bancários.
O malware utilizado por este grupo, ao qual foi atribuído o nome de código “ovofrito”, com base num excerto de texto
presente no ficheiro que faz o download do mesmo para o PC do utilizador foi analisado em detalhe para fornecer contexto
sobre esta nova ameaça.
cpl"
2"
4"
2"
X"
1. Caso o utilizador pretenda aceder a qualquer site na internet, que não o dos bancos alvo, o acesso é feito directamente
sem intercepção por parte do atacante;
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
2. Caso o utilizador pretenda aceder ao site do banco, a comunicação é redirecionada para um site falso site do banco
onde é levado a revelar os seus dados de autenticação (número de utilizador, PIN de acesso, password de segundo
nível, cartão matriz completo e número de telemóvel). Note-se que o URL visível pelo utilizador no web browser é de
facto o URL do banco, embora não esteja visível o cadeado indicando que o site foi autenticado através de SSL;
2.4.2 Ataque manual através de popup de modulo de segurança
Neste modo de operação, o malware aguarda que o utilizador tenha o browser aberto numa das páginas do banco e alerta o
atacante. O atacante despoleta a falsa instalação de um modulo de segurança do banco, de forma a levar o utilizador a
revelar as suas credenciais de acesso. O esquema seguinte sumariza o metido de ataque num PC infectado:
1"
2"
3"
5"
4"
1. O utilizador navega normalmente na internet. O malware está activamente a transmitir os títulos de todas as janelas
do utilizador para o servidor de comando e controlo;
2. Quando o utilizador acede ao site do Banco, o nome da janela é transmitido para o atacante;
3. O atacante despoleta a solicitação da instalação de um falso modulo de segurança no PC. O utilizador vê-se
obrigado a introduzir os dados pedidos pelo atacante para continuar a utilizar o PC, já que a instalação do modulo
de segurança impede a interacção com as restantes janelas do Windows.
4. O atacante utiliza os dados do utilizador para aceder ao site do banco em tempo real e realizar operações
fraudulentas. Note-se que o utilizador continua aguardando a finalização da instalação do modulo de segurança,
sendo possível que o atacante solicite em tempo real a introdução de informação de autenticação (e.g. posições
específicas do cartão matriz).
Foram identificadas duas variantes deste ataque que surgiram durante o mês de Abril, uma variante completa, que permite
os dois modos de operação acima descritos e uma variante que apenas altera o proxy do utilizador e não deixa qualquer
outro componente do malware em execução, não sendo por isso detectável por sistemas de antivírus após a execução inicial
do ataque. Esta análise refere-se apenas à variante mais complexa do malware (que permite os dois modos de
operação).
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
3. Análise detalhada
3.1 Identificação do malware
O malware é identificado pela maioria dos fabricantes de antivírus como uma ameaça genérica (O resultado da análise em
software antivírus pode ser consultado no Anexo A). No entanto, há diversas referencias na internet à utilização de ficheiros
com a extensão .cpl para propagação de trojans bancários em particular no Brasil.
3.2 Propagação
O malware é propaga-se através de um email falso com a imagem da EDP, que leva o utilizador a fazer o download de um
ficheiro indicando que se trata de uma factura electrónica. A imagem seguinte apresenta um exemplo do conteúdo do email.
A partir do qual é feito o download de um ficheiro .zip com um ficheiro com a extensão .pdf.cpl no seu interior. A imagem
seguinte apresenta o resultado do download do ficheiro e extração do mesmo para o desktop do utilizador.
Como se pode observar, uma vez que por omissão, o sistema Microsoft esconde as extensões conhecidas, o ficheiro
aparente ter a extensão .pdf podendo no entanto um utilizador estranhar que este não apresente o ícone habitual deste tipo
de ficheiros.
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
Os ficheiros .cpl, correspondem a ficheiros de instalação de componentes do Control Panel do Windows. Tratam-se de
ficheiros dll, que exportam um método especifico relacionado com o control pannel que permite sejam invocados pelo
sistema. Quando um utilizado faz duplo clique num deste ficheiros, o método exportado é invocado e a partir desse
momento são executados tal como se se tratasse de um ficheiro .dll ou .exe. Os autores de malware utilizam este tipo de
ficheiro se tratar na verdade de um formato executável e por não ser conhecido da maioria dos utilizadores como tal.
3.3 Infecção
Uma vez que o utilizador faça duplo clique no ficheiro .cpl o malware inicia o processo de instalação. Neste processo o
malware realiza as seguintes operações:
escrevendo-o em:
C:\ProgramData\NetDHCP1.exe;
Em seguida, faz uma sequencia de pedidos HTTP que resultam em redireccionamentos até chegar ao URL de uma imagem
alojada no sapo:
http://bit.ly/1iuYq2W -> http://p3q.qy.sl.pt/ -> http://www.sapo.pt/imgs/2011/transparent.png;
O processo NetDHCP1.exe faz um pedido HTTP, de onde obtém o número da versão mais recente do software (neste
caso a versão 11) ao ficheiro:
http://www.saphumula.co.sz/images/version.php
Em seguida cria uma chave de registry que assegura que em caso de reboot, o malware seja novamente executado:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NetDHCP -> “C:\WINDOWS\Win32\NetDHCP.exe”
e escreve-o em
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
C:\WINDOWS\Win32\neopzl1_11.exe
O processo NetDHCP.exe executa então o ficheiro C:\ WINDOWS\Win32\neopzl1_11.exe, que faz um pedido HTTP,
de onde obtém o número da versão mais recente do software (neste caso a versão 11) ao ficheiro:
http://www.saphumula.co.sz/images/version.php
Em seguida cria uma chave de registry que assegura que em caso de reboot, o malware seja novamente executado:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NetDHCP -> “C:\WINDOWS\Win32\NetDHCP.exe”
Uma vez que se trata da ultima versão do malware, este passa então para fase de comando e controlo:
Como se pode observar, o cliente inicia a comunicação com a string <|PRINCIPAL|>, em seguida transmite alguma
informação relativamente ao sistema infectado na secção <|Info> <<| em seguida, o servidor inicia uma sequência de
pedidos nos quais solicita informação sobre qual o título da janela aberta com o comando <|PING|><|WINDOW|>.
O malware tem uma funcionalidade de upload e download de ficheiros, como evidenciado pelos seguintes comandos::
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
<|DOWNLOAD|>
<|DownloadFile|>
<|Enviado|>
<|Files|>
<|first|>
<|Folder|>
<|UPLOAD|>
<|UploadFile|>
O malware tem uma funcionalidade que permite ao atacante aceder remotamente ao PC da vítima e controlar o rato e o
teclado:
<|Desktop|>
<|KEYBOARD|>
<|REQUESTKEYBOARD|>
<|MouseDC|>
<|MouseLD|>
<|MouseLU|>
<|MousePos|>
<|MouseRD|>
<|MouseRU|>
Existem ainda diversas strings de comandos que revelam quais os bancos afectados e quais as capacidades do malware:
FAKE|BANIF|
FAKE|BANIF|ACTUALIZACAO
FAKE|BANIF|EXPIRARSESSAO
FAKE|CGD|
FAKE|CGD|ACTUALIZACAO
FAKE|CGD|ACTUALIZARCARTAO
FAKE|CGD|CARTAOMATRIZ
FAKE|CGDEMPRESA|
FAKE|CGDEMPRESA|ACTUALIZACAO
FAKE|CGDEMPRESA|ACTUALIZARCARTAO
FAKE|CGDEMPRESA|CARTAOMATRIZ
FAKE|CGDEMPRESA|EXPIRARSESSAO
FAKE|CGD|EXPIRARSESSAO
FAKE|DESATIVAR
FAKE|MONT|
FAKE|MONT|ACTUALIZACAO
FAKE|MONT|ACTUALIZARCARTAO
FAKE|MONT|CARTAOMATRIZ
FAKE|MONTEMPRESA|
FAKE|MONTEMPRESA|ACTUALIZACAO
FAKE|MONTEMPRESA|ACTUALIZARCARTAO
FAKE|MONTEMPRESA|CARTAOMATRIZ
FAKE|MONTEMPRESA|EXPIRARSESSAO
FAKE|MONT|EXPIRARSESSAO
FAKE|START|OK
Em particular, o malware tem a capacidade de solicitar a actualização de dados, a actualização do cartão matriz e a
introdução de posições do cartão matriz e afecta os bancos CGD, Montepio e Banif.
De forma a reforçar as conclusões obtidas através da análise de strings no ficheiro, foram extraídas diversas imagens que
estão contidas nos resources do executável que revelam que este malware apresenta uma janela, independente do web
browser, que solicita a introdução de credenciais de utilizador:
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
Para além destas imagens, existem ainda outras strings que revelam detalhes adicionais relativamente ao modo de operação
do ataque:
Como se pode observar, o malware permite a solicitação de todas as posições do cartão matriz ou de apenas algumas
posições, sugerindo que o atacante tem a capacidade de interagir com o utilizador em tempo real, sabendo quais as posições
do cartão matriz são pedidas pela aplicação de home banking num determinado momento.
Como se pode observar, o malware configura o proxy submetido pelo atacante nos sistema Windows, bem como nos
browsers Firefox e Opera.
A imagem seguinte apresenta o resultado desta operação num sistema infectado, verificando-se facilmente que as
configurações do proxy estão de facto alteradas.
A imagem seguinte apresenta um exemplo do ficheiro de configuração utilizado. Como se pode observar, o proxy é
utilizado apenas para o acesso aos sites alvo do ataque, todos os restantes são acedidos directamente sem recurso a proxy.
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
A imagem seguinte apresenta o ataque em execução no site do Banco Montepio. Note-se que, na barra de endereços está o
domínio correcto para acesso ao Banco. No entanto, a indicação de que se trata de uma página PHP é suspeita, já que esta
não é a tecnologia utilizada no site real.
Como se pode observar, o servidor de comando está constantemente a pedir ao sistema infectado qual o nome da janela
com foco em cada momento através do comando <|PING|><|WINDOW|>. Esta informação é utilizada para identificar
que o PC infectado se encontra a aceder ao site do banco de forma a despoletar o inicio do ataque, que neste caso se inicia
com o comando FAKE|BANIF|ATUALIZACAO.
Uma vez no site do banco, o browser do utilizador é maximizado e é criada uma janela/layer transparente sobre a janela do
web browser indicando que o banco está a proceder a uma actualização de segurança, como mostra a imagem seguinte.
Ao iniciar o processo, são solicitadas as credenciais de acesso, como mostram as imagens seguintes.
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
Após a introdução de cada uma das credenciais solicitadas, o processo de instalação da actualização de segurança pede ao
utilizador que aguarde, apresentando uma barra de progresso que vai avançando muito lentamente, como mostra a imagem
seguinte.
O utilizador é impedido de fechar a actualização, aceder ao browser ou utilizar qualquer outra aplicação até que esteja
terminado o processo de actualização. Esta pode ser uma forma de “ganhar tempo”, enquanto o atacante valida as
credenciais já submetidas ou prepara a realização de uma transferência fraudulenta. A existência de um modo em que são
solicitadas apenas a introdução de posições específicas do cartão confirma esta suspeita.
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
Finamente, existe a possibilidade de solicitar o preenchimento de todo o cartão matriz, como mostra a imagem seguinte:
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
4. Recomendações
Recomenda-se a realização das seguintes acções:
• Alertar os clientes para a nova ameaça – Recomenda-se ainda sejam utilizados os canais habituais para a divulgação de
alertas desta natureza e que seja inserido em local visível do site de banca online uma mensagem com detalhes da nova
ameaça, de como pode ser detectada e do que deve ser feito pelos utilizadores.
• Submissão de samples de malware para fabricantes de segurança – Recomenda-se que as amostras de malware sejam
submetidas para o maior número possível de fabricantes de antivírus para que a detecção do malware seja mais alargada.
• Monitorização activa da bot-net – Recomenda-se ainda que enquanto esta não esteja completamente encerrada, se
proceda a uma monitorização activa do comportamento da bot-net de forma a identificar eventuais alterações no
comportamento que possam ser relevantes (e.g. novos endereços de controlo).
• Shutdown de endereços IP e domínios utilizados pelo Malware – Recomenda-se que seja solicitado o encerramento
dos servidores utilizados para o controlo e disseminação do malware junto dos ISP’s envolvidos. O anexo B contem a
listagem dos hosts utilizados pelo malware e cujo encerramento deverá ser solicitado.
• Submissão de endereços IP e domínios utilizados para fabricantes de segurança – Recomenda-se que os endereços
sejam também reportados a fabricantes de antivírus, de equipamentos de filtragem de trafego e de fornecedores de feeds de
security intelligence, para que passem a ser bloqueados nestes mecanismos de segurança. O anexo B contem a listagem dos
hosts utilizados pelo malware que poderão ser submetidos para fabricantes de segurança.
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
4.1.4 Mutexes
Não foram identificados mutexes específicos para este malware.
4.1.5 Hosts
Os seguintes hosts são utilizados pelo malware:
www.saphumula.co.sz IP: 41.215.144.42 Local: Swaziland
www.umc.co.sz IP: 41.215.144.42 Local: Swaziland
177.67.82.33 Local: Brasil
74.63.255.179 Local: USA
ANÁLISE DE MALWARE
CONFIDENCIAL
13-05-2014
5. Contactos
Forensics Services Manager
Tiago Pereira
Email: tpereira@sysvalue.com
Telefone: +351 960 067 957
SysValue
Avenida Duarte Pacheco, 26 - Piso 7
1070-110 Lisboa
Portugal