Os criminosos virtuais estão sem dúvida ficando mais criativos e sabendo como desviar-se de filtros de correio eletrônico. É a segunda vez em menos de 30 dias que um novo e-mail suspeito passa pelo filtro de anti-spam e cai na minha caixa de entrada como um e-mail válido. Desta vez, até com imagem de cheques atachados (como se fossem imagem) no e-mail. Veja abaixo o e-mail:
O e-mail é suspeito para mim pois as assinaturas nos cheques não são minhas e ao apontar para cada um destas imagens anexadas o browser mostra na barra de tarefas o link para uma URL que está se tornando muito comum para este tipo de golpe no Brasil (
). Não necessariamente a URL vai ser exatamente a mesma, porém existem dois pontos que venho notado vem se repetindo com frequencia:
). Não necessariamente a URL vai ser exatamente a mesma, porém existem dois pontos que venho notado vem se repetindo com frequencia:- Eles (criminosos) estão utilizando SSL (HTTPS) para que os inviduos que estam atrás de um firewall que não tem inspeção SSL possam fazer o download do arquivo sem que o Firewall consiga inspecionar o conteúdo
- Eles (criminosos) utilizão na maioria das vezes uma URL comprimida de algum serviço público de compressão de URL.
Para confimar a suspeita resolvi fazer o download dos arquivos no meu ambiente isolado de rede, usando uma máquina virtual que é específica para este intuito (ser infectada).
Recaptulando o Caso da Semana Passada
Na semana passada quando escrevi este post, eu também fiz o teste e o arquivo que baixou foi um EXE que continha um trojan conforme capturado pelo Security Essentials:
Esste Trojan (Banload) é conhecido por ser membro da família do Win32/Banker, que por sua vez é um trojan que rouba credenciais de bancos. É um trojan muito utilizado no Brasil.
Continuando a Investigação
Resolvi baixar o arquivo, ou seja, clicar na imagem e o que me vem para abrir não é um JPG (claro já sabia), é um arquivo ZIP:
Note que aqui houveram dois encapsulamentos: a comunicação ocorreu via SSL e o arquivo (provavelmente infectado) está dentro de um ZIP. Tudo na tentativa de obfuscar o firewall de borda durante a inspeção de conteúdo (se você usar o HTTPS Inspection do velho TMG, ele vai fazer a inspeção profunda mesmo com estas duas camadas de encapsulamento).
Após baixar o arquivo ZIP, fiz a estração do conteúdo e então me deparei com o arquivo “Cheque Protestado.CPL”, que mais uma vez é extremamente usado no Brasil, inclusive neste paper sobre CPL Malware da Trend Micro o autor reporta isso (extremamente recomendado ler este paper).
Para ler este arquivo de forma segura eu usei o PE Explorer e depois fiz o disassembler do arquivo conforme mostra a figura abaixo:
Os padrões encontrados são muitos parecidos com o CPL referenciado no paper da TrendMicro (página 7).
Conclusão
Mais uma vez, fique atento a qualquer e-mail suspeita, e não abra arquivos CPL, pois o AV não vai identificar como malicioso, mas ao executar ele vai fazer contato com outra URL para baixar uma variante do malware. Muitas vezes o CPL vai apenas agir como um “dropper”.
Fique atento!
Post retirado do blog do Yuri Diogenes
0 comentários:
Postar um comentário