Mais uma Tentativa de Golpe via E-Mail

Os criminosos virtuais estão sem dúvida ficando mais criativos e sabendo como desviar-se de filtros de correio eletrônico. É a segunda vez em menos de 30 dias que um novo e-mail suspeito passa pelo filtro de anti-spam e cai na minha caixa de entrada como um e-mail válido. Desta vez, até com imagem de cheques atachados (como se fossem imagem) no e-mail. Veja abaixo o e-mail:

image

O e-mail é suspeito para mim pois as assinaturas nos cheques não são minhas e ao apontar para cada um destas imagens anexadas o browser mostra na barra de tarefas o link para uma URL que está se tornando muito comum para este tipo de golpe no Brasil (image). Não necessariamente a URL vai ser exatamente a mesma, porém existem dois pontos que venho notado vem se repetindo com frequencia:

  • Eles (criminosos) estão utilizando SSL (HTTPS) para que os inviduos que estam atrás de um firewall que não tem inspeção SSL possam fazer o download do arquivo sem que o Firewall consiga inspecionar o conteúdo
  • Eles (criminosos) utilizão na maioria das vezes uma URL comprimida de algum serviço público de compressão de URL.

Para confimar a suspeita resolvi fazer o download dos arquivos no meu ambiente isolado de rede, usando uma máquina virtual que é específica para este intuito (ser infectada).

Recaptulando o Caso da Semana Passada

Na semana passada quando escrevi este post, eu também fiz o teste e o arquivo que baixou foi um EXE que continha um trojan conforme capturado pelo Security Essentials:

image

Esste Trojan (Banload) é conhecido por ser membro da família do Win32/Banker, que por sua vez é um trojan que rouba credenciais de bancos. É um trojan muito utilizado no Brasil.

Continuando a Investigação

Resolvi baixar o arquivo, ou seja, clicar na imagem e o que me vem para abrir não é um JPG (claro já sabia), é um arquivo ZIP:

image

Note que aqui houveram dois encapsulamentos: a comunicação ocorreu via SSL e o arquivo (provavelmente infectado) está dentro de um ZIP. Tudo na tentativa de obfuscar o firewall de borda durante a inspeção de conteúdo (se você usar o HTTPS Inspection do velho TMG, ele vai fazer a inspeção profunda mesmo com estas duas camadas de encapsulamento).

Após baixar o arquivo ZIP, fiz a estração do conteúdo e então me deparei com o arquivo “Cheque Protestado.CPL”, que mais uma vez é extremamente usado no Brasil, inclusive neste paper sobre CPL Malware da Trend Micro o autor reporta isso (extremamente recomendado ler este paper).

Para ler este arquivo de forma segura eu usei o PE Explorer e depois fiz o disassembler do arquivo conforme mostra a figura abaixo:

image

Os padrões encontrados são muitos parecidos com o CPL referenciado no paper da TrendMicro (página 7).

Conclusão

Mais uma vez, fique atento a qualquer e-mail suspeita, e não abra arquivos CPL, pois o AV não vai identificar como malicioso, mas ao executar ele vai fazer contato com outra URL para baixar uma variante do malware. Muitas vezes o CPL vai apenas agir como um “dropper”.

Fique atento!

Advertisements
This entry was posted in segurança, segurança da informação. Bookmark the permalink.

One Response to Mais uma Tentativa de Golpe via E-Mail

  1. Pingback: Os Riscos Reais do BYOD | Yuri Diogenes

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s