Esta semana recebemos no Laboratório da ESET América Latina uma amostra de um trojan detectado pelo ESET NOD32 Antivirus como BAT/Agent.NLF Trojan. A ameaça se propaga através de um e-mail contendo um suposto vídeo do namorado de uma das integrantes do programa Big Brother Brasil 2012, tentando persuadir os usuários a baixarem um arquivo. Após realizarmos uma análise mais profunda, pudemos observar que o comportamento mudou a respeito das ações efetuadas no golpe:
Como primeiro passo, imediatamente depois de executar a ameaça, é aberta uma janela do navegador, acessando um popular site de vídeos online. Contudo, isso não é mais que uma distração, já que o malware está executando operações em segundo plano, sem que o usuário veja.
Analisando as mudanças que são feitas no sistema, é possível ver que várias entradas de registro foram alteradas, porém o que mais chama a atenção é a mudança nas entradas de registro correspondentes aos diferentes navegadores instalados no sistema operacional. A alteração dessas entradas tem como finalidade, cada vez que o navegador é iniciado, seja baixado um arquivo com extensão TXT a partir de um site remoto, que contém código oculto para evitar ser detectado, e que permite comparar os endereços URL que o usuário acessa com uma lista armazenada no referente código.
Desta maneira, se o usuário acessa uma URL que se encontra listada no arquivo de texto, é redirecionado a um site de phishing relacionado à URL acessada. Dessa maneira, o trojan não realiza pharming local como fazem muitos outros, mas utiliza um site remoto como proxy para redirecionar o usuário a determinados sites de phishing de acordo com os sites que o usuário acessa dentro da lista contida no arquivo de texto baixado:
Essas operações tem como finalidade o roubo de credenciais de múltiplos serviços através do mesmo malware. Isto inclui serviços de e-mail muito populares, como também o roubo de credenciais de home banking de diferentes entidades bancárias de renome, dentre outros.
Na imagem anterior, podemos ver a inserção de credenciais de acesso a um serviço popular de e-mail (na verdade um site de phishing). Os dados serão roubados e armazenados no servidor malicioso como mostra a imagem a seguir:
Outro ponto que vale a pena destacar é que através desta técnica os cibercriminosos por trás desse código malicioso podem modificar o arquivo de texto baixado e atualizá-lo com novos sites e campanhas para expandir o roubo de credenciais a outros serviços, sem que o usuário seja infectado com algum outro tipo de malware.
Finalmente, aconselhamos ao usuário que conte com uma solução antivírus com capacidade de detecção proativa para poder se proteger contra este tipo de ameaça, assim como também bloquear as URLS pertencentes a servidores maliciosos.
Fernando Catoira
Analista de Segurança
