• Investigação de Incidentes: Roubo a Sistemas Bancários Remotos

    Um número muito grande de empresas, número este que vem crescendo cada vez mais, vem solicitando à equipe de segurança da Kaspersky Lab, para realizar investigações detalhadas de incidentes de segurança de TI relacionados a programas maliciosos que afetam seus negócios. Neste artigo, haverá uma descrição sobre um típico ataque cybercriminoso, com o objetivo de roubar ativos financeiros corporativos a partir de um sistema bancário remoto.


    Descrição do Incidente

    Uma organização pediu, recentemente, para os profissionais de segurança da Kaspersky Lab investigarem um incidente que ocorreu em seu sistema bancário remoto corporativo: um representante do banco entrou em contato com o departamento de contabilidade da organização e pediu a confirmação de um pagamento no valor de 3 milhões de rublos (cerca de US$ 80.000). Neste contexto, verificou-se que ninguém na organização, nunca tinha ouvido falar deste pagamento. O contador estava certo de que ele não havia feito esse pagamento, e ainda afirmou que estava no seu intervalo para o almoço, no momento em que a transação foi feita.

    O contador utilizava software bancário em seu ambiente de trabalho, para preparar os pedidos de pagamento e enviá-los para o banco. Os registros sobre este software gravaram dois pagamentos suspeitos, efetuados para o mesmo endereço. O primeiro deles, foi um pagamento relativamente pequeno, de 300.000 rublos. Isso não soou nenhum alarme, e foi processado sem que houvesse nenhum tipo de consulta antes de ser efetivada a transação. O segundo pagamento, foi no valor de 3 milhões de rublos. Essas informações foram divulgadas pela equipe do banco da empresa.

    Levando em consideração essas ocorrências, ficou claro que o contador não tinha feito os pagamentos, e desse modo, a organização suspeitou de um ataque de malware. Mas, como isso era possível? Eles estavam usando software bancário especializado, com proteção de senha. Eles precisavam de um arquivo especial para acessar o sistema bancário remoto e o próprio banco, iria verificar o endereço IP do remetente de qualquer pagamento.


    Investigação em Relação ao Incidente

    O principal objetivo de uma investigação de incidentes que envolvem malware, é avaliar com precisão as conseqüências do ataque, identificar cada computador comprometido em decorrência dessas investidas e estabelecer exatamente como o malware penetrou o computador da vítima. A organização afetada pode então, usar esta informação para reduzir efetivamente o dano e corrigir as deficiências em seu sistema de segurança social para evitar que tais incidentes se repitam no futuro.

    Durante a investigação, também é possível, por vezes, detectar espécies de malware até então desconhecidas e adicionar suas assinaturas para as bases de dados de segurança, protegendo outros usuários do seu impacto futuro. Neste caso abordado, uma imagem do disco rígido do computador do contador foi fornecida pelo Response Team Global Emergency (GERT) da Kaspersky Lab, para que pudessem realizar os processos de análise e de investigação.


    Acesso Remoto à Área de Trabalho

    Durante a análise first-pass de disco rígido do contador, foi possível identificar uma versão modificada do sistema manipulador remoto, que permite o acesso remoto ao computador. Este tipo de software é, muitas vezes, usado por contadores e administradores de sistema. No entanto, este programa foi localizado em um catálogo suspeito, tinha um nome suspeito (C:\windows\dotcom\wmiterm.exe é um path excessivamente "system-related"), e passou por duas modificações para esconder a sua operação:

    O ícone na Windows Task Bar estava escondido;
    A chave de registro onde o programa armazena sua configuração foi alterada: HKLM\SYSTEM\Remote Manipulator System\v4 foi alterada para HKLM\SYSTEM\System\System\Remote\Windows, que por sua vez é muito parecido com a chave de registro do sistema. Estas modificações são típicas de malware, por isso, foram adicionadas assinaturas para este programa, de antivírus databases da Kaspersky Lab - ele foi detectado como malicioso e identificado como Backdoor.Win32.RMS.

    Ao analisar o funcionamento de Backdoor.Win32.RMS, foi possível descobrir que os cybercriminosos utilizaram para baixar um outro programa de malware para o computador da vítima, o Backdoor.Win32.Agent. (Esta detecção foi adicionada aos produtos da Kaspersky Lab imediatamente). Este backdoor oferece acesso VNC (Virtual Network Computing) ao computador da vítima. Curiosamente, o código desse programa de malware tem muito em comum com o módulo 'hVNC' do perigoso Carberp Trojan. Vale lembrar que o código-fonte do Carberp está disponível para acesso público.


    Infectando um Desktop Corporativo

    Na base de dados do Microsoft Outlook, armazenados no arquivo outlook.pst no disco rígido, foi encontrado um e-mail contendo um anexo chamado запрос ИФНС № АС-4-31339.doc ('Federal Tax Service request no. AC-4-31339.doc'). Dessa forma, o Kaspersky Lab Anti-Virus detectou o documento do Microsoft Office como malicioso, identificando-no como Exploit.MSWord.CVE-2012-0158.

    Os cybercriminosos utilizaram métodos de engenharia social: o e-mail foi enviado em nome da Receita Federal da Rússia, pedindo uma ação imediata, e forneceu detalhes de contato de funcionários do Tax Service.



    Pelo que foi possível concluir, o contador, certamente, teria aberto o anexo, que explorava uma vulnerabilidade no Microsoft Word para baixar um arquivo de auto-descompactação a partir de um servidor remoto e, em seguida, iniciar o processo de descompactação. O arquivo continha dois arquivos: SYST.EXE, uma versão renomeada do compactador de arquivos 7zip e SYST.

    Ao ser desembalado, o arquivo de origem lançou o programa de arquivo SYST.EXE com parâmetros de instrução para descompactar o arquivo protegido por senha, usando a senha incorporada. Este truque de usar uma senha protected-password, é bem sucedido para um bypass em relação a software de segurança, na descompactação do arquivo estático, impedindo a sua detecção.

    Desempacotando SYST ocorreu o seguinte: o arquivo Backdoor.Win32.RMS (onde se verificou mais cedo) e o script INST.CMD, que instalou o backdoor no sistema. Este é o script que copiou os arquivos do programa malicioso para a pasta "C:\Windows\dotcom". Depois de detectados os backdoors, foi possível entender como os cybercriminosos poderiam roubar o dinheiro. Se eles tivessem acesso remoto ao computador, eles poderiam fazer a sua própria ordem de pagamento e em seguida, o arquivo de chave e endereço IP do remetente seriam legítimos. A dúvida que ainda existe, é em relação a esses criminosos terem conseguido a senha para acessar o software bancário. Em face disso, houve a procura por um programa keylogger.


    Keylogger

    O arquivo svchost.exe chamou a atenção da equipe da Kaspersky Lab, localizado no root do system disk. Ele acabou por ser um keylogger (detecção adicionada com a identificação Trojan-Spy.Win32.Delf); também continha funcionalidades para gerenciar a configuração de Backdoor.Win32.RMS. Esta capacidade incomum, foi aparentemente introduzida pelos cibercriminosos porque eles precisavam de uma ferramenta para controlar o sistema manipulador remoto: eles haviam escondido toda interface do usuário deste programa, e poderiam utilizá-lo para gerenciar a configuração.

    Além disso, também houve a possibilidade para a descoberta de que este keylogger foi baixado com a ajuda de Backdoor.Win32.RMS. O keylogger enviou um log contendo todas as informações roubadas para o C & C, o que ocorreu em intervalos regulares, e manteve uma cópia up-to-date do log no disco rígido do computador infectado. Diante disso, foi possível também encontrar a senha bancária dentro das pilhas de informações roubadas pelo keylogger.


    Reconstrução do Plano de Ação dos Cybercriminosos

    Seguindo com a pesquisa, foi feita uma espécie de reconstrução do plano de ação dos cybercriminosos. Eles lançaram um ataque direcionado, usando técnica de engenharia social e uma vulnerabilidade do Microsoft Word para infectar o computador do contador com Backdoor.Win32.RMS. Com a ajuda do backdoor, os cybercriminosos carregaram mais dois programas maliciosos no computador da vítima: um keylogger (Trojan-Spy.Win32.Delf) e outro backdoor (Backdoor.Win32.Agent), que estabelece o acesso VNS remoto ao computador da vítima.

    Na sequência, o keylogger interceptou a senha para a conta bancária remota. Enquanto o contador estava longe de seu computador, os cybercriminosos utilizaram o Backdoor.Win32.Agent e o acesso VNS para o computador, com o intuito de iniciar o software bancário em nome do contador. Além de tudo, os cybercriminosos usaram a senha interceptada pelo keylogger, para criar uma ordem de pagamento no valor de 300 mil rublos e enviá-la para o banco.

    Um pouco mais tarde, eles criaram uma outra ordem de pagamento, desta vez no valor de 3 milhões de rublos, e enviaram-na para o banco.
    Quando a equipe da Kaspersky chegou ao final da investigação, ainda houve a descoberta de um outro fato interessante: os endereços IP dos servidores C & C para todos os programas maliciosos utilizados no ataque, pertenciam à mesma sub-rede.


    Saiba Mais:

    [1] Secure List http://securelist.com/analysis/publi...nvestigations/

    Sobre o Autor: Camilla Lemke


    Comentários 2 Comentários
    1. Avatar de 1929
      1929 -
      Meu comentário não tem relação direta com a notícia postada.
      Agora de manhã no noticiário Bom Dia Brasil da Globo surgiu uma reportagem sobre emissão de boletos falsos.
      O usuário recebe um boleto para pagamento e ao gerar o mesmo um malware altera uma numeração do código de barra e o pagamento vai direcionado para outra conta.
      Logicamente a polícia já está rastreando e vai chegar aos meliantes.
      Mas o que me chamou a atenção na notícia é que o repórter disse que a culpa pelo ocorrido estava no provedor de internet.
      E para provar foi emitido um boleto na máquina do cliente e o mesmo boleto por um celular que era o verdadeiro
      Isso pegou mal, pois o usuário vai ficar mal informado e como noticiário é formador de opinião, já imagino onde isso vai parar.
      Maldita tendência da imprensa em sempre procurar o culpado mais fácil. O dia que a justiça colocar a culpa nos provedores para a disseminação de programas maliciosos é melhor sair do mercado para os provedores.
      Total falta de conhecimento dos meios noticiosos.
    1. Avatar de Griforium
      Griforium -
      O formato em html em que os boletos é gerado é de facil manipulaçao
    + Enviar Comentário

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L