Hoje vamos apresentar a vocês a análise de um código malicioso que se propagava através de e-mails falsos se passando por uma notificação do Facebook. A ameaça, detectada pelo ESET NOD32 Antivirus como Win32/VB.NRE, tenta transformar o computador em um integrante de uma botnet. Observaremos como é que este código malicioso infecta o sistema e logo se comunica com o painel de administração.
Em primeiro lugar, para que um computador seja infectado, o usuário deve ter sido vítima do golpe, baixando e executando o trojan. Lembre-se que a engenharia social é utilizada para chamar a atenção de vítimas em potencial. Aqueles que não contam com boas práticas para navegar na Internet, nem contam com uma solução de segurança, podem estar expostos a esse tipo de ataques.
Quando se executa o arquivo, o usuário não vê a suposta postagem no Facebook. O que na verdade acontece é que o arquivo se adiciona ao início automático do sistema e, além disso, entrará em contato com o Centro de Controle (C&C) da botnet para receber novas ordens. Vejamos o que acontece em cada uma dessas duas etapas. Através de uma análise dinâmica do trojan, é possível determinar onde se armazena uma cópia dele mesmo: “C:Windowscsrcs.exe”. Essa informação pôde ser comprovada utilizando o ESET SysInspector, uma ferramenta de diagnóstico da ESET, como se pode observar na imagem a seguir:
Uma vez que se conhece a localização do arquivo é possível eliminá-lo manualmente, além de ser recomendável apagar a entrada no início automático. Anteriormente, já havíamos comentado que essa técnica é muito comum entre as estratégias dos criminosos virtuais com o objetivo de executar seu código malicioso na inicialização do sistema.
Este trojan também se comunica com o painel de controle da botnet, enviando informação sobre o sistema operacional, usuário, senha e o endereço IP do novo computador zumbi. Com essa informação, o botmaster pode identificar de maneira exclusiva os equipamentos que estão sob seu controle, acessando os recursos remotamente. Outro dos pontos a considerar sobre este comportamento é que a conexão é feita a partir do computador infectado até o endereço URL remoto através do protocolo HTTP na porta 80. Com esse comportamento, é mais difícil para um firewall detectar a atividade anormal.
Na tela anterior, observamos o tráfego de saída até o painel de administração e todos os dados que mencionamos anteriormente. Uma vez que o computador é ativado como parte da botnet Volk, em sua versão 4.0, o criminoso poderá utilizar o sistema para o roubo de credenciais de acesso ao Internet banking, envio de spam e outras atividades maliciosas. O método GET utilizado ao enviar os dados permite baixar outros arquivos executáveis e armazená-los nos arquivos temporários do Windows para sua posterior execução. Por último, podemos observar que o painel de administração desta botnet se encontra ativo:
Mais uma vez, esse tipo de atividade foi reportada na região, assim como a detecção de redes de computadores zumbis que atacam usuários da América Latina. Para evitar este tipo de situação, é necessário contar com uma solução antivírus com capacidade de detecção proativa, como também poder identificar falsos e-mail e nunca abrir os arquivos anexos sem antes analisa-los.
Pablo Ramos
Especialista de Awareness & Research