Uma vez esgotadas as informações obtidas de nossas análises partimos para uma investigação das informações obtidas e comparação do código com outros já conhecidos no meio de segurança. Nessa pesquisa a respeito das ameaças encontradas, confirmamos que as mesmas são bastante difundidas e com diversas variantes.
O winsys32.exe é uma variante de diversos trojans famosos como o Trojan.W32.MYTOB e o Trojan-Banker.Win32.Banker.ablg ambos de autores desconhecidos.
O cdromxis.dll é registrado como uma Dynamic Link Library, mas trata-se de um worm polimórfico que pode ser injetado em processos do sistema como o explorer.exe.
Os arquivos winsys32.exe, cdromxis.dll e o falso CSRSS.exe foram utilizados em conjunto para angariar informações da máquina infectada através de um scam enviado por email para usuários incautos. O CSRSS.exe é um worm que utilizando a livraria do cdromxis.dll engloba os serviços do explorer.exe e todos os outros subprocessos na tentativa de extrair informações bancárias, emails ou logins de instant messengers conhecidos, monitorando toda a atividade do usuário. Enquanto isso, o winsys32.exe sequestra uma porta UDP conhecida do sistema para envio desses dados coletados sem atrair suspeitas.
Tentamos observar o tráfego dessa porta com o Network Monitor, mas nenhum tráfego foi gerado durante nosso período de observação. Deduzimos que ou o envio de informações obedece períodos de não utilização do sistema, ou determinados horários, ou a utilização do malware foi abandonada.
Sem mais pistas, no voltamos para a única fonte de informação que nos restou para identificar o autor do malware, o IP de onde foi obtido o arquivo malicioso.
O malfeitor, cuja identidade não foi possível determinar, hospedou o arquivo de instalação desses códigos maliciosos em um servidor na Espanha, o que podemos confirmar por um whois no IP de onde o arquivo foi obtido (IP 85.62.68.57).
Devemos então contatar os órgãos responsáveis da Espanha para dar continuidade a investigação desse caso, com a possível identificação de suspeitos.
Sob fria análise, um usuário mais atento teria percebido os diversos erros ortográficos e gramaticais comuns aos scams, bem como o número aleatório do processo. Ademais, sabemos que os órgãos públicos não fazem intimações ou enviam dados dessa categoria por email ou qualquer outro meio eletrônico.
Entretanto, os seres humanos mesmo quando informados a respeito desta prática, muitas vezes são pegos em um momento de distração e acabam caindo no golpe. Como pudemos confirmar a utilização de um antivírus teria impedido o ataque, como ocorreu neste exemplo, mas nem sempre o usuário mantém esse recurso instalado ou atualizado.
O winsys32.exe é uma variante de diversos trojans famosos como o Trojan.W32.MYTOB e o Trojan-Banker.Win32.Banker.ablg ambos de autores desconhecidos.
O cdromxis.dll é registrado como uma Dynamic Link Library, mas trata-se de um worm polimórfico que pode ser injetado em processos do sistema como o explorer.exe.
Os arquivos winsys32.exe, cdromxis.dll e o falso CSRSS.exe foram utilizados em conjunto para angariar informações da máquina infectada através de um scam enviado por email para usuários incautos. O CSRSS.exe é um worm que utilizando a livraria do cdromxis.dll engloba os serviços do explorer.exe e todos os outros subprocessos na tentativa de extrair informações bancárias, emails ou logins de instant messengers conhecidos, monitorando toda a atividade do usuário. Enquanto isso, o winsys32.exe sequestra uma porta UDP conhecida do sistema para envio desses dados coletados sem atrair suspeitas.
Tentamos observar o tráfego dessa porta com o Network Monitor, mas nenhum tráfego foi gerado durante nosso período de observação. Deduzimos que ou o envio de informações obedece períodos de não utilização do sistema, ou determinados horários, ou a utilização do malware foi abandonada.
Sem mais pistas, no voltamos para a única fonte de informação que nos restou para identificar o autor do malware, o IP de onde foi obtido o arquivo malicioso.
O malfeitor, cuja identidade não foi possível determinar, hospedou o arquivo de instalação desses códigos maliciosos em um servidor na Espanha, o que podemos confirmar por um whois no IP de onde o arquivo foi obtido (IP 85.62.68.57).
IP Information | |
---|---|
IP Address: | 85.62.68.57 |
IP Location: | SPAIN |
Whois Record | |
---|---|
[Querying whois.lacnic.net] [whois.lacnic.net] % Joint Whois - whois.lacnic.net % This server accepts single ASN, IPv4 or IPv6 queries % RIPENCC resource: whois.ripe.net % This is the RIPE Whois query server #3. % The objects are in RPSL format. % % Rights restricted by copyright. % See http://www.ripe.net/db/copyright.html % Note: This output has been filtered. % To receive output for a database update, use the "-B" flag. % Information related to '85.62.0.0 - 85.62.255.255' inetnum: 85.62.0.0 - 85.62.255.255 netname: UNI2-NET descr: Addresses IP for corporate ABI clients descr: France Telecom España country: ES admin-c: HAF10-RIPE tech-c: HAF10-RIPE status: LIR-PARTITIONED PA remarks: For complaints of abuse from these addresses remarks: please, send a mail to abuse@orange.es mnt-by: UNI2-MNT mnt-lower: FTE-GGRR-MNT mnt-routes: UNI2-MNT mnt-domains: UNI2-MNT source: RIPE # Filtered role: Hostmaster Administrator FTE address: Parque Empresarial La Finca address: Edificio 9 address: Paseo del Club Deportivo, 1 address: 28223 Pozuelo de Alarcon address: Madrid, Spain admin-c: HA1066-RIPE admin-c: HA1067-RIPE tech-c: HA1066-RIPE tech-c: HA1067-RIPE nic-hdl: HAF10-RIPE remarks: spam, abuse reports....mailto:abuse@orange.es abuse-mailbox: abuse@orange.es mnt-by: UNI2-MNT source: RIPE # Filtered % Information related to '85.48.0.0/12AS12479' route: 85.48.0.0/12 descr: Uni2 PA Block 1 origin: AS12479 mnt-by: UNI2-MNT source: RIPE # Filtered |
Devemos então contatar os órgãos responsáveis da Espanha para dar continuidade a investigação desse caso, com a possível identificação de suspeitos.
Sob fria análise, um usuário mais atento teria percebido os diversos erros ortográficos e gramaticais comuns aos scams, bem como o número aleatório do processo. Ademais, sabemos que os órgãos públicos não fazem intimações ou enviam dados dessa categoria por email ou qualquer outro meio eletrônico.
Entretanto, os seres humanos mesmo quando informados a respeito desta prática, muitas vezes são pegos em um momento de distração e acabam caindo no golpe. Como pudemos confirmar a utilização de um antivírus teria impedido o ataque, como ocorreu neste exemplo, mas nem sempre o usuário mantém esse recurso instalado ou atualizado.
Nenhum comentário:
Postar um comentário