• Internet Banking e Desafios de Novas Ameaças

    O autor deste post disponibilizou um programa malicioso, que poderia ser usado para atacar "cerca de 100 bancos" através da propagação do add-on para sites bancários, visualizado com Internet Explorer e Mozilla Firefox, com conexões VNC, e outras maneiras de atacar "qualquer banco em qualquer país". A partir daí, a Kaspersky Lab, imediatamente, começou a ir mais longe, e descobriu que o programa que os usuários mal-intencionados estavam oferecendo era Trojan-Banker.Win32 / 64.Neverquest. Em meados de novembro do ano passado, a Kaspersky Lab havia registrado milhares de tentativas de infecções a partir do Neverquest, em todo o mundo.

    Esta ameaça é relativamente nova, e os cybercriminosos ainda não estão utilizando-a com a exploração de sua capacidade total. À luz da capacidade de auto-replicação do Neverquest, o número de utilizadores atacados poderia aumentar, consideravelmente, ao longo de um curto período de tempo.


    Uma Análise dos Arquivos Executáveis

    executable md5 Compilation date
    0eb690560deb40bec1a5a9f147773d43 Thu Sep 05 12:33:35 2013
    212a7ef73af17a131bb02aa704aa1b14 Thu Aug 29 15:30:01 2013
    2a9e32e488c3e6d5ba8dc829f88ba31b Fri Aug 23 12:10:14 2013
    385509d00c7f652689a13df0c4142a91 Sat Oct 28 05:37:40 2000
    5c6f1704632afbbaa925fa71ebc2f348 Wed Aug 28 10:22:16 2013
    61720b34825e28e05c6a85a20dd908c9 Mon Sep 02 16:41:05 2013
    79da4f9675b87d261cb1b9cb9c47e70a Mon Aug 26 14:35:00 2013
    808b13ebae56569db0f7f243fab9e9ed Wed Sep 04 10:50:18 2013
    8e918b0f0643b1e6a7ae1ebf8fbaaec7 Thu Sep 05 12:50:17 2013
    a22cf98fb397b537de0f9c9f4263b6a5 Mon Sep 11 02:47:52 2000
    b26578721c11bf387ed72b02c1237ed7 Fri Sep 06 21:40:39 2013
    b76628896fb602d02abbcc118a704d30 Thu Aug 29 15:30:24 2013
    c0244295fc0cb98c938bb39bbada2e61 Wed Aug 14 09:30:45 2013
    dd12ec2f1cd96bc8677934abb6a545b0 Fri Sep 06 21:40:39 2013
    fd3231ab2f7829659c471b7369808fab Tue Aug 27 09:38:43 2013
    ffad56a2b4693d98e31ad8c4be86d055 Wed Sep 04 13:13:45 2013

    Uma tabela de MD5s executáveis ​​para o Trojan-Banker.Win32 / 64.Neverquest com as respectivas datas de compilação.


    A função principal deste programa, está contida em uma biblioteca dinâmica instalada em um sistema usando um programa adicional, como um Trojan Downloader ou um Trojan Dropper. Esses tipos de programas instalam o arquivo de biblioteca na pasta %AppData% sob um nome aleatório com a extensão DAT (por exemplo: qevcxcw.dat). Além disso, esta biblioteca é executado automaticamente devido a "regsvr32.exe/s [path para a biblioteca]", que está sendo adicionado ao registro em "SoftwareMicrosoftWindowsCurrentVersionRun." Depois disso, o programa começa a realizar o processo de exportação desta biblioteca, relacionado à inicialização do programa malicioso.

    O programa verifica o computador para quaisquer cópias de si mesmo, que já podem ser instaladas na máquina. Se não houver nada, então será iniciado um servidor VNC e enviado o seu primeiro pedido ao centro de comando e controle. Isso seria feito com a finalidade de receber um arquivo de configuração. O arquivo de configuração é criptografado com uma chave, embalado por uma compressão da biblioteca aPLib e, em seguida, transmitido para o centro de comando. Esse arquivo de configuração contém um conjunto de JavaScripts maliciosos e uma lista de sites que, quando lançados no Internet Explorer ou Firefox, irão instalar os scripts correspondentes.

    Existem 28 sites nessa lista, incluindo os que pertencem a grandes bancos internacionais - sites de bancos alemães, italianos, turcos e indianos, assim como sistemas de pagamento. Quando um usuário, a partir de um computador infectado, visitar um dos sites da lista, o malware controla a conexão do navegador com o servidor. Usuários mal-intencionados podem obter nomes de usuários e senhas digitadas pelo usuário, e modificar conteúdo de páginas Web. Todos os dados inseridos pelo usuário serão inseridos na página modificada e transmitidos para os cybercriminosos.


    A webpage propagando com conteúdo malicioso. Todos os dados que o usuário inserir nesta página serão transmitidos para usuários mal-intencionados.


    Depois de conseguir o acesso a uma conta de usuário com um sistema bancário on-line, os cybercriminosos usam um servidor SOCKS e conectam-se, remotamente, ao computador infectado através de um servidor VNC. Em seguida, passa a realizar transações e roubar dinheiro do usuário para as suas próprias contas ou para as contas de outras vítimas. Existe ainda outra função, que ajuda os elementos mal-intencionados a reabastecer sua lista de bancos específicos e a desenvolver o código para ser propagado em novos sites, que antes não estavam na lista de destino.

    O arquivo de configuração contém uma lista de palavras-chave que, se forem encontrados em uma página da Web a partir do navegador, o prompt do programa malicioso pode interceptar o processo e enviar todo o conteúdo da página Web e sua URL para usuários mal-intencionados;

    Com base nos dados recebidos, os usuários mal-intencionados, então, desenvolvem código adicional para ser propagado;

    - O novo site é então, incluído na lista de sites segmentados, e o novo código é adicionado ao arsenal de scripts maliciosos no arquivo de configuração.

    - O arquivo de configuração atualizado é então distribuído para todos os computadores infectados.

    A lista de palavras-chave utilizadas para desenvolver código adicional é:


    • availablebalance
    • accountsummary
    • checkingacount
    • saldo
    • cuenta
    • Balance
    • AvailableBalance
    • AccountSummary
    • CheckingAccount
    • Availablebalance
    • CurrentBalance
    • AccountsBalanceFootnote
    • Saldo
    • Cuenta
    • balance
    • BusinessAccounts
    • DepositAcounts
    • AccountBalances
    • CareerBuilder
    • SiteKeyChallengeQuestion


    De todos os sites segmentados por este programa especial, o fidelity.com - de propriedade da Fidelity Investments - parece ser o top-alvo. Esta empresa é uma das maiores empresas de fundos de investimento em todo o mundo. Além disso, o site oferece aos seus clientes uma longa lista de maneiras de gerenciar suas finanças online. Isso dá aos usuários mal-intencionados, a oportunidade de não só transferir fundos em dinheiro para as suas próprias contas, mas também para investir no mercado de ações, usando as contas e o dinheiro das vítimas.


    Prevalência

    Em 2009, a Kaspersky Lab detectou uma ameaça relacionada a uma nova maneira de espalhar malware. Este programa malicioso foi apelidado de "Bredolab", espalhado pelo botnet Pegel. Métodos de distribuição deste programa foram tão bem sucedidos que no início de 2010, ele ficou no Top 3 dos tipos de malware mais difundidos na Internet. Além disso, o trojan Neverquest usa os mesmos mecanismos de auto-replicação utilizados pelo Bredolab. As características do Neverquest incluem uma coleção de dados usados ​​para acessar servidores FTP, através dos seguintes programas:

    Far Far2 CuteFTP Ipswitch FlashFXP
    BulletProof FTP SmartFTP TurboFTP FTP Explorer Frigate3
    SecureFX FTPRush BitKinex NetDrive LeechFTP
    FTPGetter ALFTP GlobalDownloader Notepad++ FTPInfo
    NovaFTP FTPVoyager WinFTP DeluxeFTP Staff-FTP
    FreshFTP BlazeFtp GoFTP 3D-FTP EasyFTP
    FTPNow FTP Now FTPShell NexusFile FastStoneBrowser
    FTP Navigator FTP Commander FFFTP COREFTP WebSitePublisher
    ClassicFTP Fling FTPClient WebDrive LinasFTP
    PuTTY LeapFTP WindowsCommander TotalCommander FileZilla
    ExpanDrive AceBIT Robo-FTP WinZip Firefox
    Thunderbird InternetExplorer
    A table of programs used to access FTP servers targeted by Neverquest


    Os dados roubados a partir desses programas, é então utilizado pelos cybercriminosos para distribuir ainda mais o programa malicioso, usando o Neutrino Pack Exploit, que é descrito pelos pesquisadores da Kaspersky Lab. Este programa malicioso também rouba dados de clientes de e-mail do usuário e faz uma coleta de dados durante as sessões SMTP/POP. Esta informação é usada por cybercriminosos para enviar spam mailings em massa, com anexos contendo trojans, que, em seguida, instalam o Neverquest. Esses e-mails são normalmente concebidos para que transmitam a idéia de notificações oficiais e mais uma variedade de serviços. Os nomes dos anexos maliciosos poderiam ser qualquer um dos seguintes processos:

    travel-00034.jpg. zip
    travel-00034.sg.67330-2-2-8.jpg.zip
    jpg.zip
    light details_united airlines.pdf.zip



    Um exemplo de um e-mail de spam contendo um Trojan Downloader

    Neverquest também é projetado para colher dados para acessar as contas de uma série de serviços sociais populares:


    • blinkx.com
    • flickr.com
    • yahoo.com
    • google.com
    • skype.com
    • ooyala.com
    • amazonaws.com
    • myspace.com
    • wrproxy.com
    • talltreegames.com
    • meebo.com
    • poptropica.com
    • tagged.com
    • icomment.com
    • playsushi.com
    • mathxl.com
    • lphbs.com
    • vkontakte.ru
    • trainingpeaks.com
    • yoville.com
    • tubemogul.com
    • farmville.com
    • zynga.com
    • webkinz.com
    • xvideos.com
    • facebook.com
    • live.com
    • ningim.com
    • mortgagenewsdaily.com
    • /wp-admin/admin-ajax.php
    • twitter.com
    • livestream.com
    • brightcove.com
    • hubpages.com
    • fuckbook.com
    • shutterfly.com
    • applicationstat.com
    • espnradio.com
    • webex.com
    • fwmrm.net
    • auditude.com


    • torn.com


    Nesse contexto, a Kaspersky Lab não foi capaz de detectar a proliferação deste programa malicioso específico, através destes serviços, embora não haja nada que possa impedi-los de fazê-lo.


    O fluxograma abaixo ilustra como Neverquest se espalha:




    Conclusão

    Neverquest suporta praticamente todos os truques possíveis, descritos em artigos anteriores que foram publicados sobre ataques online bancários: injeção Web, acesso remoto ao sistema, técnicas de engenharia social, e assim por diante.

    Os seguintes módulos são construídos sob Neverquest:

    - Um módulo que rouba dados inseridos pelos usuários em sites de bancos online. Os dados são roubados a partir dos navegadores IE e Firefox. Um módulo cujo código é propagado em sites bancários, quando lançado em IE ou Firefox. E um JavaScript malicioso, baixado para o código da página alvo do Trojan.

    - Um servidor VNC: este fornece aos usuários maliciosos conexões remotas para realizar transações fraudulentas.

    - Um password revester FTP. Dados roubados são utilizados por cybercriminosos para plantar packet exploits em servidores de propriedade dos usuários de máquinas infectadas.

    - Um password revester de e-mail da conta. Os dados roubados são usados para enviar spam mailings em massa, com anexos maliciosos.

    - Um módulo que colhe dados de contas de previdência social. Estes dados podem ser utilizados para espalhar links para recursos que foram previamente infectados.

    - Um servidor SOCKS. Isto é usado para conectar anonimamente computadores das vítimas via VNC, durante as transações realizadas.

    -Um RemoteShell. Este módulo é capaz de executar comandos remotos cmd.

    Vale lembrar que as semanas que antecedem o Natal e Ano Novo são, tradicionalmente, um período de atividade do usuário altamente malicioso. Já em novembro, a Kaspersky Lab observou casos em que as mensagens foram feitas em fóruns cybercriminosos sobre a compra e venda de bancos de dados para acessar contas bancárias, além de outros documentos utilizados para abrir e gerenciar as contas para onde os fundos roubados são enviados. Dessa forma, podemos esperar para ver ataques em massa a partir do Neverquest para o final do ano, o que poderia levar a mais usuários se tornando vítimas de roubo de dinheiro online.


    Saiba Mais:

    [1] Secure List http://securelist.com/analysis/publi...-a-new-threat/

    Sobre o Autor: Camilla Lemke


    Comentários 3 Comentários
    1. Avatar de 1929
      1929 -
      E agora eu pergunto: correr para onde? Será que manter atualizados os anti-virus vai ajudar? Eu não entendi bem se a Kaspersky já consegue identificar e bloquear ou ainda estão trabalhando em cima.
    1. Avatar de lemke
      lemke -
      1929,

      O que eu tenho entendido durante esse tempo em que eles vem detectando e identificando ameaças, é que é feito um trabalho de projeção de novas tecnologias para coibir a ação cybercriminosa.

      O entrave maior é que, para o cybercrime, não há limites e à medida em que a área de segurança se esforça para manter software atualizado, lança tecnologias sofisticadas e demais soluções para garantir a segurança, vem os crackers na contramão e lançam seus novos exploits, novas formas de ataques, tudo cada vez mais ousado e sofisticado.

      Minimizar os danos até que vem sendo possível, mas controlar de forma significativa essa imensidão de pragas que surgem a cada dia, é que ainda não foi possível.

      E tem mais: com tantos casos de phishers, scammers e outros tipos de cybercriminosos atacando, ainda tem gente que negligencia forte e acha que nunca vai ser vítima de nada disso. Acha que aconteceu com o "vizinho" mas com ela não vai acontecer.

      Agora, imagina se mais de 50% das pessoas que tem uma vida cibernética ativa (olha o termo hehehe), estiverem pensando assim? A má educação do usuário ainda é um fator que contribui muito para que os ataques se propaguem e para que os criminosos tirem proveito das mais inusitadas situações.

      Sds,

      Camilla
    1. Avatar de 1929
      1929 -
      verdade, e por precaução e como gostei das argumentações do artigo, já troquei hoje o Avast Security pela versão mais sofisticada deles o Pure3.0.
    + Enviar Comentário

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L