Ingresso.com lhe presenteou para Copa do Mundo 2014!

Este post apresenta uma análise básica d phishing Ingresso.com lhe presenteou para Copa do Mundo 2014!
As ferramentas apresentadas nesta análise são todas gratuítas ou possuem versões trial disponíveis em seus respectivos sites.

SOBRE O E-MAIL
Tipo de ataque: phishing
Vetor de entrada: e-mail
Remetente: s.mundo@uol.com.br
Assunto: Olá, ?????! Ingresso.com lhe presenteou para Copa do Mundo 2014!
O e-mail enviado apresenta-se como um presente da empresa ingresso.com.
No assunto temos a informação de que a ingresso.com lhe presenteou com um ingresso para a copa do mundo. Inicialmente um ponto que chama muito a atenção é o fato de que os dados no e-mail, como nome completo e endereço da vítima estavam todos corretos.

Analisando somente o e-mail já é possível verificamos alguns pontos:

• O domínio do remetente é @uol.com.br, sendo que o e-mail apresenta-se como sendo da ingresso.com.
• Conforme o print abaixo, é possível verificar que a formatação do e-mail també, está incorreta, com o texto na mesma linha das imagens.

• Olhando no código fonte da mensagem, será possível verificar que a imagem também está hospedada em outro domínio.

SOBRE O LINK
Junto ao corpo do e-mail existe um  link para download apontando para o seguinte endereço:
http://www.ge.tt/api/1/files/9Nm3rih1/0/blob?download#/www.ingresso.com/sorteios/imprimir-www.ingresso.com-sorteio-copa-do-mundo-bilhete

Uma vez clicado no link recebemos o arquivo imprimr-www.ingresso.com-sorteio-copa-do-mundo-bilhete.zip, dentro do arquivo compactado encontramos o arquivo Requisicao-Ingresso.com-Copa-Do-Mundo-2014.cpl.

A extenção de arquivo neste caso, cpl, tem sido bastante utilizada nos últimos tempos para criação de malwares, para maiores informações sobre o uso específico desta extenção recomedo a leitura do documento disponível em http://www.trendmicro.com.br/cloud-content/br/pdfs/business/datasheets/relatorio_malwarecpl.pdf feito pelo Fermando Merces do Forward-Looking Threat Research Team da Trend Micro.

ANÁLISE DO ARQUIVO MALICIOSO
Nossa primeira análise será submetendo o arquivo para o site virustotal.com, após a submissão tivemos como resultado 16 das 37 ferramentas utilizadas por este site apontando o arquivo como malware.

A análise seguinte será executada com o aplicativo PEV, disponível em http://pev.sourceforge.net. O PEV é composto de diversos executáveis, primeiramente utilizaremos o PESCAN que busca por qualquer coisa suspeita dentro do executável.

file entropy: 7.147220 (probably packed)
cpl analysis: malware
fpu anti-disassembly: no
imagebase: normal
entrypoint: normal
DOS stub: suspicious
TLS directory: not found
section count: 9 (high)
.text: normal
.itext: normal
.data: normal
.bss: zero length
.idata: normal
.didata: normal
.edata: small length
.reloc: normal
.rsrc: normal
timestamp: normal

A análise do PESCAN acusou alguns pontos suspeitos:

• A entropia do arquivo indixa que provavelmente ele foi subetido a algum packer.
• A análise do formato CPL indica que provavelmente seja um malware.
• Conteúdo do DOS Stub suspeito.
• Quantidade de seções suspeita.

A próxima ferramenta utilizada será o READPE, que nos mostrará os headers do arquivo.

Através do DOS Header obtemos a informação de que o arquivo é um executável pois possui o Magic Number 0x5a4d (MZ), este magic number é característico de arquivos executáveis (exe), além disso no Optional/Image header temos o Magic number 0x10b (PE32) que indica que é um executável de32 bits.

O READPE exibe também todas funções de DLL que o malware importa, sendo que em uma análise mais detalhada cada função pode ser pesquisada na base de conhecimentos da microsoft.

Agora vamos analisar o arquivo utilizando o PESTR, que irá procurar dentro do executável por strings encriptadas.

Dentre as informações exibidas podemos destacar a das seguintes linhas que nos mostram a linguagem de programação utilizada no desenvolvimento do Malware, no caso Delphi.

• Software\Borland\Delphi\Locales
• Delphi%.8X
• Delphi Picture
• Delphi Component

ANÁLISE DO ARQUIVO MALICIOSO EM SANDBOX
Para a análisem SandBox utilizei uma máquina virtual com Windows XP – SP3, sem nenhum antimalware instalado e com o firewall desativado, justamente para termos a visibilidade completa das ações do malware.

ANÁLISE DAS AÇÕES
Antes de infectar a máquina fiz um snapshot utilizando a ferramente Winalysis, disponível em http://www.winanalysis.com, esta ferramenta é utilizada para gerenciar alterações no sistema operacional, sendo que após criar o primeiro snapshot, vamos infectar a máquina e exectar uma comparação entre o status atual da máquina e do snapshot, desta forma teremos a visibilidade de arquivos, grupos, registros, permissões, agendamentos, serviços, compartilhamentos e outras características do sistema operacional modificadas.

A tela abaixo mostra o resultado do teste do Winalysis após a infecção pelo Malware.

Conforme mostra a ferramenta, foram executadas alterações em arquivos, registros e serviços do windows.

Alterações em arquivos:

• Criado o diretório C:\ProgramData
• Dentro de C:\ProgramData foram criados os seguintes arquivos:
• setuppack.txt
• WindowsMediaPlayer.dll
• wlanagent.cpl
• wlanguard.clp
• wlanuac.clp

Em uma nova submissão ao virustotal.com e análises com o PEV todos os arquivos CPL e o arquivo DLL foram identificados como malwares. Um ponto interessante para ver notado é o fato do nome do diretório criado pelo malware, ProgramData, sendo que na estrutura do Windows realmente existe um diretório com este nome, porém com espaço, ou seja Program Data, outro ponto é o nome dos aquivos, WindowsMediaPlayer.dll e wlan....cpl, todos fazendo referências a nomes comuns dentro do sistema operacional.

Alterações no registro*:

• Criada uma entrada na inicialização do sistema para um processo denominado TapiSrv;
• Criada uma entrada na inicialização do sistema para um processo denominado RasMan;
• Alterados todos os apontamentos do registro do Google Chrome para uma nova versão do mesmo baixada pelo malware.

* foram encontradas 11 alterações críticas no registro do sistema operacional, e mais de 60 avisos e informativos, acima foram citadas somente as mais importantes.

Alterações de serviço:

• Gerenciador de conexão de acesso remoto iniciado.
• Serviço de telefonia iniciado.

ANÁLISE DE TRÁFEGO
Para análise do tráfego gerado pelo malware foi utilizada a ferramenta Wireshark, disponível em httpp://www.wireshark.org.
Logo no início da execução o malware utilizou o método GET para download do arquivo GoogleUpdateSetup.exe da fonte 189.115.42.13. Utilizando o whois para levantar maiores informações sobre a origem do IP é possível ver que o mesmo pertence a GVT, este ip ficou como uma incógnita pois não consegui muitas informações, sobre o mesmo, de forma que ao colocar este IP no navegador fui redicionado para o site do google, porém sem mudar o endereço para www.google.com, outro ponto que chamou a atenção foi o fato de que no momento do teste minha conta do google estava conectada, porém no site aberto ao colocar o ip apareceu a opção para fazer login, e ao clicar nela foi exibido um erro.

Outro download executado pelo malware foi do arquivo modr.zip qe estava hospedado em http://www.pilotorevenda.com/param/primo/ ao acessar o endereço é possível ver um site sem index com vários arquivos semelhantes hospedados, ao descompactar o arquivo modr.zip encontramos os mesmos CPL e a DLL identificados pelo Winalysis, desta forma já temos a origem destes arquivos.

CONCLUSÃO
Finalizando gostaria de fazer um resumo das ações detectadas do malware:

1. Vítima recebe via e-mail o phishing com o título Ingresso.com lhe presenteou para Copa do Mundo 2014!
2. O conteúdo do e-mail possui além de todos os dados da vítima corretos, como nome completo e endereço, um link para donwnload do arquivo cpl;
3. Uma vez executado o arquivo cpl o mesmo executa o download de uma nova versão do google chrome e um arquivo compactado no formato zip contendo mais 3 malwares no formato cpl e uma dll.

No caso desta análise a versão do google chrome baixada pelo malware não funcionou, dando erro ao tentar executar.