Quick Analysis: KL Banker as a Service

Mais uma da série exposed, e dessa vez quem caiu na nossa rede foi um grupo banker brasileiro que comercializa suas ferramentas livremente na web brasileira. Para os leitores mais leigos,  o cibercriminosos com foco em atividades banker são voltados ao roubo de informações bancárias, seja como desenvolvedor de trojans, seja como laranja, ou aliciador/integrante em quadrilhas virtuais. Estas informações são utilizadas para saques, compras, transferências indevidas da conta bancária das vítimas, e até mesmo para venda ou troca entre outros bankers.

 O que todos esses Keyloggers(KL) bankers têm em comum é a capacidade de ‘roubar’ a sua informação confidencial, tal como senhas e PINs, e enviá-la para o criminoso. Armado desta informação, o ciber-criminoso é então capaz de roubar o seu dinheiro.

Então agora vamos desmascarar mais um desses indivíduos:

Para começar, eu encontrei um “simples” phishing reportado pela incrível equipe da “Defesa Digital“:

comeou1
Safadinho achou que iria passar despercebido… Não aos meus olhos de DFIR noob 😉
vt
Até agora a taxa de detecção está razoável, mas poderia ser pior hahahah…

A princípio achei que seria apenas mais um LNK na rede, mas não, era uma KL banker lucrando absurdamente. Então partir para análise inicial para descobrir possíveis packers, ofuscação, ou alguma novidade no universo cibercriminoso, o que raramente acontece pelo fato de serem preguiçosos…

Output do binwalk

Target File: PDF_100987464500.exe
MD5 Checksum: 2bd3c15d36e4c70fc9d6a4af7db0deae

DECIMAL HEX DESCRIPTION
——————————————————————————————————-
718 0x2CE LZMA compressed data, properties: 0x2D, dictionary size: 262144 bytes, uncompressed size: 214958080 bytes
758 0x2F6 LZMA compressed data, properties: 0x2D, dictionary size: 131072 bytes, uncompressed size: 215220224 bytes
838 0x346 LZMA compressed data, properties: 0x2D, dictionary size: 131072 bytes, uncompressed size: 215351296 bytes
970948 0xED0C4 LZMA compressed data, properties: 0x40, dictionary size: 16777216 bytes, uncompressed size: 256 bytes
1007401 0xF5F29 LZMA compressed data, properties: 0x02, dictionary size: 65536 bytes, uncompressed size: 32 bytes
1288544 0x13A960 LZMA compressed data, properties: 0x40, dictionary size: 16777216 bytes, uncompressed size: 8192 bytes
1292809 0x13BA09 LZMA compressed data, properties: 0x01, dictionary size: 65536 bytes, uncompressed size: 32 bytes
1430813 0x15D51D PC bitmap, Windows 3.x format, 32 x 16 x 8
1432553 0x15DBE9 PC bitmap, Windows 3.x format, 32 x 16 x 8

Estranho não?!!??!?!?!??!!?!?!?!?!?!??!?!??!?!?

Comecei a brincar com ele em outras tools de análise estática para verificar a presença de packers 😮 … Vejo nosso resultado abaixo:

  • Desenvolvida em Delphi( -.- que surpresa né????)
  • Usando um packer chatinha de retirar: Aspack v2.12 😦
  • Nada que análise de memória não resolva meu caro jovem….

ARQUIVOS EXTRAÍDOS DURANTE A EXECUÇÃO DO MALWARE:

drops

Já que a análise de código seria um caminho mais longo, resolvi fazer análise comportamental até para respeitar o título do post(quick analysis), um dos motivos dos leitores curtirem…

Safadão já começou entrando e fazendo persistência, de esperto que é:

persist1perssist3

Executando o malware em um ambiente controlado, o danadinho começa a fazer as seguintes requisições e dropar um arquivo:

rede1

O danadinho começa a enviar as informações do meu ambiente para o c2 via HTTP (dailydinnerclub.com) que provavelmente foi ownado(ou não 😦 ) hahahha…E dentro da requisição algo chamou atenção, era simplesmente informações sobre um possível desenvolvedor dessa KL:

  • Informações do desenvolvedor: Contador de Infects (); FCLab 
  • Skype: carlos.braga79
  • Site onde o criminoso comercializa sua KL: fcorpshop.com
  • Email: adm@fcorpshop.com

POST /images/cont/go.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 1001
Host: http://www.dailydinnerclub.com
Accept: text/html
Accept-Encoding: identity
User-Agent: Mozilla/3.0 (compatible;Indy Library)

Screenshot_1

Acessando a URL para onde era enviado os meus dados, me deparo com algumas vítimas e informações de seus micros como plugins bancários instalados, IP, Versão do Windows, hostname, Antivírus instalado e hora da infecção, veja abaixo:

fullll
Total de vítimas até o momento: 332

Depois de finalizar uma rápida análise comportamental, comecei a pesquisar as informações que adquiri durante a análise e vejam só o que encontramos; um portal de vendas de Keyloggers Bankers e afins.

Este slideshow necessita de JavaScript.

Analisando os domínios que foram requisitados durante a análise comportamental, consegui perceber alguns padrões que denota uma probabilidade muito grande de uma pista real do nome desse meliante:

Outro detalhe interessante é que o usuário da ferramenta maliciosa tem a opção de receber SMS quando alguma vítima é infectada:

Este slideshow necessita de JavaScript.

Por fim, esse é mais um cenário do funcionamento do cibercrime brasileiro. É sempre importante verificar com calma tudo que é executado em seu ambiente, embora as técnicas utilizadas sejam antigas, o número de vítimas é muito alto e a dor de cabeça é maior ainda.

O cibercrime no Brasil mudou drasticamente nos últimos anos, saindo de simples keyloggers gerados a partir de código fonte disponível publicamente para ferramentas de administração remota que podem executar um ataque completo utilizando o computador da vítima. Malware que costumavam exibir uma tela de phishing assim que executado agora é completamente reativo e aguarda por uma sessão válida antes de começar o trabalho.

Isto significa que o cibercrime brasileiro está investindo muito mais dinheiro e tempo para desenvolver seus códigos maliciosos, aperfeiçoando técnicas anti-debugging tornando os malware indetectáveis por mais tempo.

IOC

Anúncios

Um comentário em “Quick Analysis: KL Banker as a Service

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

w

Conectando a %s