{"id":4988,"date":"2014-10-02T12:43:00","date_gmt":"2014-10-02T15:43:00","guid":{"rendered":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil"},"modified":"2022-03-30T14:51:38","modified_gmt":"2022-03-30T17:51:38","slug":"tecnica-packing-autoit-esconde-bolware-no-brasil","status":"publish","type":"post","link":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/","title":{"rendered":"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil"},"content":{"rendered":"\n

Nos \u00faltimos meses, percebemos um aumento do n\u00famero de arquivos recebidos pelo nosso laborat\u00f3rio de an\u00e1lise que est\u00e3o utilizando scripts em AutoIt para dificultar a identifica\u00e7\u00e3o do m\u00f3dulo malicioso. <\/p>\n\n\n\n

A t\u00e9cnica foi encontrada apenas em malwares brasileiros at\u00e9 o momento, combina diversos c\u00f3digos dispon\u00edveis na internet e \u00e9 usada para camuflar o bin\u00e1rio malicioso. Entenda a amea\u00e7a que j\u00e1 infectou mais de 3 mil computadores no Pa\u00eds e \u00e9 instalada em aproximadamente 300 novas m\u00e1quinas a cada dia.<\/p>\n\n\n\n

Em um dos casos analisados, recebemos o seguinte e-mail informando que o t\u00edtulo eleitoral foi cancelado provisoriamente, solicitando ao usu\u00e1rio que ele leia o regulamento em anexo.<\/p>\n\n\n\n

Ao realizar o download e executar o arquivo baixado, ele come\u00e7a a realizar o download de alguns outros m\u00f3dulos necess\u00e1rios.<\/p>\n\n\n\n

Ap\u00f3s descompactado, este primeiro m\u00f3dulo baixado possui um execut\u00e1vel que foi gerado utilizando AutoIt. Ao extrair o script usado pelo execut\u00e1vel, foi poss\u00edvel identificar que o c\u00f3digo estava ofuscado para dificultar a an\u00e1lise e identifica\u00e7\u00e3o do malware.<\/p>\n\n\n\n

Todas as strings utilizadas no script foram encriptadas e a fun\u00e7\u00e3o de descriptografia implementada dentro do c\u00f3digo \u00e9 utilizada para descriptografar o conte\u00fado ao executar-se. Para facilitar a an\u00e1lise do c\u00f3digo, reescrevemos a fun\u00e7\u00e3o em Python e substitu\u00edmos as chamadas das fun\u00e7\u00f5es pelo conte\u00fado retornado. O c\u00f3digo final ficou mais simples de ser analisado.<\/p>\n\n\n\n

Estudando o c\u00f3digo, foi poss\u00edvel identificar que o script carrega o pr\u00f3prio execut\u00e1vel, descarrega o conte\u00fado do mesmo e escreve na \u00e1rea de mem\u00f3ria do processo o conte\u00fado de um outro bin\u00e1rio que est\u00e1 embutido no execut\u00e1vel. Esta t\u00e9cnica j\u00e1 foi detalhada no post sobre o Bolware<\/a>.<\/p>\n\n\n\n

O que \u00e9 diferente neste Bolware<\/h2>\n\n\n\n

O interessante desta amostra \u00e9 a forma que ele utiliza para descompactar o bin\u00e1rio que est\u00e1 embutido dentro do execut\u00e1vel. Ele abre o bin\u00e1rio original e procura pelo identificador \u201cdaosd7asdyasiduasydasuidgvas\u201d, que marca o in\u00edcio do bin\u00e1rio criptografado e tamb\u00e9m \u00e9 utilizado como chave para descriptografar o conte\u00fado.<\/p>\n\n\n\n

O conte\u00fado \u00e9 descriptografado pelo c\u00f3digo que est\u00e1 representado in-line e executado utilizando a fun\u00e7\u00e3o CallWindowProc, retornando ent\u00e3o o conte\u00fado do arquivo final.<\/p>\n\n\n\n

Este conte\u00fado ser\u00e1 escrito para a mem\u00f3ria do processo do AutoIt, fazendo com que ele nunca seja escrito em disco. Esta t\u00e9cnica funciona de uma forma similar ao comportamento de um packer, complicando a an\u00e1lise do bin\u00e1rio malicioso.<\/p>\n\n\n\n

O que faz este malware<\/h2>\n\n\n\n

O bin\u00e1rio final tem objetivo de monitorar o acesso aos navegadores do usu\u00e1rio capturando logins e credenciais para acesso aos principais bancos brasileiros.<\/p>\n\n\n\n

Abaixo uma lista de strings descriptografadas dentro do execut\u00e1vel:<\/p>\n\n\n\n

Ap\u00f3s todo este processo, ainda temos o outro arquivo que foi baixado junto com o bin\u00e1rio em AutoIt. Este segundo bin\u00e1rio se encarrega de instalar uma extens\u00e3o hospedada na Chrome Store.<\/p>\n\n\n\n

Uma particularidade desta extens\u00e3o \u00e9 que, se voc\u00ea fizer o download do Chrome Store, ela n\u00e3o tem conte\u00fado malicioso, \u00e9 apenas um Hello World conforme a imagem abaixo:<\/p>\n\n\n\n

Por\u00e9m, como ela possui as permiss\u00f5es necess\u00e1rias para monitorar a URL acessada, o malware modifica o conte\u00fado da extens\u00e3o ap\u00f3s a instala\u00e7\u00e3o, inserindo um conte\u00fado malicioso.<\/p>\n\n\n\n

Ap\u00f3s desofuscar, \u00e9 poss\u00edvel identificar algumas strings relacionadas a ataques direcionados a boletos banc\u00e1rios.<\/p>\n\n\n\n

Contactamos a equipe do Google, a empresa esclareceu que o item n\u00e3o pode ser removido da Chrome Store, pois a  vers\u00e3o atual n\u00e3o possui nenhum c\u00f3digo malicioso. Este tipo de ataque que reescreve a extens\u00e3o j\u00e1 \u00e9 conhecido pela empresa e a solu\u00e7\u00e3o ser\u00e1 liberada na vers\u00e3o 38 do Google Chrome.<\/p>\n\n\n\n

Este exemplo \u00e9 apenas para ilustrar como os criminosos continuam buscando temas atuais para tentar infectar computadores de brasileiros para cometer fraudes banc\u00e1rias.<\/div>\n","protected":false},"excerpt":{"rendered":"

Malwares brasileiros que utilizam AutoIt para mascarar atividade maliciosa s\u00e3o detectados pelo laborat\u00f3rio de an\u00e1lise da PSafe Tecnologia.<\/p>\n","protected":false},"author":114,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[555],"tags":[599,376,4851,6659,11989,12022],"class_list":["post-4988","post","type-post","status-publish","format-standard","hentry","category-ciberataques","tag-autoit","tag-brasil","tag-google-chrome","tag-noticia","tag-psafe-total","tag-python"],"yoast_head":"\nT\u00e9cnica de packing em AutoIt esconde Bolware no Brasil | dfndr blog - PSafe<\/title>\n<meta name=\"description\" content=\"Malwares brasileiros que utilizam AutoIt para mascarar atividade maliciosa s\u00e3o detectados pelo laborat\u00f3rio de an\u00e1lise da PSafe Tecnologia.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/\" \/>\n<meta property=\"og:locale\" content=\"pt_BR\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil | dfndr blog - PSafe\" \/>\n<meta property=\"og:description\" content=\"Malwares brasileiros que utilizam AutoIt para mascarar atividade maliciosa s\u00e3o detectados pelo laborat\u00f3rio de an\u00e1lise da PSafe Tecnologia.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/\" \/>\n<meta property=\"og:site_name\" content=\"dfndr blog - PSafe\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/PSafeBrasil\/\" \/>\n<meta property=\"article:published_time\" content=\"2014-10-02T15:43:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2022-03-30T17:51:38+00:00\" \/>\n<meta name=\"author\" content=\"Reda\u00e7\u00e3o PSafe\" \/>\n<meta name=\"twitter:label1\" content=\"Escrito por\" \/>\n\t<meta name=\"twitter:data1\" content=\"\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. tempo de leitura\" \/>\n\t<meta name=\"twitter:data2\" content=\"4 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\\\/\\\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/tecnica-packing-autoit-esconde-bolware-no-brasil\\\/#article\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/tecnica-packing-autoit-esconde-bolware-no-brasil\\\/\"},\"author\":{\"name\":\"Reda\u00e7\u00e3o PSafe\",\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/#\\\/schema\\\/person\\\/e35802b52c4fe95b8ac4bcc80e018d56\"},\"headline\":\"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil\",\"datePublished\":\"2014-10-02T15:43:00+00:00\",\"dateModified\":\"2022-03-30T17:51:38+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/tecnica-packing-autoit-esconde-bolware-no-brasil\\\/\"},\"wordCount\":686,\"keywords\":[\"AutoIt\",\"Brasil\",\"Google Chrome\",\"Not\u00edcia\",\"PSafe Total\",\"Python\"],\"articleSection\":[\"Ciberataques\"],\"inLanguage\":\"pt-BR\"},{\"@type\":\"WebPage\",\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/tecnica-packing-autoit-esconde-bolware-no-brasil\\\/\",\"url\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/tecnica-packing-autoit-esconde-bolware-no-brasil\\\/\",\"name\":\"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil | dfndr blog - PSafe\",\"isPartOf\":{\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/#website\"},\"datePublished\":\"2014-10-02T15:43:00+00:00\",\"dateModified\":\"2022-03-30T17:51:38+00:00\",\"author\":{\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/#\\\/schema\\\/person\\\/e35802b52c4fe95b8ac4bcc80e018d56\"},\"description\":\"Malwares brasileiros que utilizam AutoIt para mascarar atividade maliciosa s\u00e3o detectados pelo laborat\u00f3rio de an\u00e1lise da PSafe Tecnologia.\",\"breadcrumb\":{\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/tecnica-packing-autoit-esconde-bolware-no-brasil\\\/#breadcrumb\"},\"inLanguage\":\"pt-BR\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\\\/\\\/www.psafe.com\\\/blog\\\/tecnica-packing-autoit-esconde-bolware-no-brasil\\\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/tecnica-packing-autoit-esconde-bolware-no-brasil\\\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"In\u00edcio\",\"item\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/#website\",\"url\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/\",\"name\":\"dfndr blog - PSafe\",\"description\":\"Dicas e not\u00edcias sobre ciberseguran\u00e7a, ciberataques, privacidade, desempenho, intelig\u00eancia artificial e o mercado digital\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"pt-BR\"},{\"@type\":\"Person\",\"@id\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/#\\\/schema\\\/person\\\/e35802b52c4fe95b8ac4bcc80e018d56\",\"name\":\"Reda\u00e7\u00e3o PSafe\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"pt-BR\",\"@id\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/0ce470a17403045075d8cd48a742ebd97c085f6d510cfd605fb223ba3fad770b?s=96&r=g\",\"url\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/0ce470a17403045075d8cd48a742ebd97c085f6d510cfd605fb223ba3fad770b?s=96&r=g\",\"contentUrl\":\"https:\\\/\\\/secure.gravatar.com\\\/avatar\\\/0ce470a17403045075d8cd48a742ebd97c085f6d510cfd605fb223ba3fad770b?s=96&r=g\",\"caption\":\"Reda\u00e7\u00e3o PSafe\"},\"description\":\"O dfndr blog \u00e9 um canal de car\u00e1ter informativo que apresenta conte\u00fados exclusivos sobre seguran\u00e7a e privacidade no mundo mobile e empresarial, com dicas para manter a popula\u00e7\u00e3o protegida. Formado por uma equipe de rep\u00f3rteres especializados, o canal conta com a parceria dos especialistas em seguran\u00e7a do dfndr lab para trazer, em primeira m\u00e3o, not\u00edcias sobre ataques, golpes, vulnerabilidades na internet, malwares e suas varia\u00e7\u00f5es.\",\"sameAs\":[\"https:\\\/\\\/www.psafe.com\"],\"url\":\"https:\\\/\\\/www.psafe.com\\\/blog\\\/author\\\/redacao\\\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil | dfndr blog - PSafe","description":"Malwares brasileiros que utilizam AutoIt para mascarar atividade maliciosa s\u00e3o detectados pelo laborat\u00f3rio de an\u00e1lise da PSafe Tecnologia.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/","og_locale":"pt_BR","og_type":"article","og_title":"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil | dfndr blog - PSafe","og_description":"Malwares brasileiros que utilizam AutoIt para mascarar atividade maliciosa s\u00e3o detectados pelo laborat\u00f3rio de an\u00e1lise da PSafe Tecnologia.","og_url":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/","og_site_name":"dfndr blog - PSafe","article_publisher":"https:\/\/www.facebook.com\/PSafeBrasil\/","article_published_time":"2014-10-02T15:43:00+00:00","article_modified_time":"2022-03-30T17:51:38+00:00","author":"Reda\u00e7\u00e3o PSafe","twitter_misc":{"Escrito por":false,"Est. tempo de leitura":"4 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/#article","isPartOf":{"@id":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/"},"author":{"name":"Reda\u00e7\u00e3o PSafe","@id":"https:\/\/www.psafe.com\/blog\/#\/schema\/person\/e35802b52c4fe95b8ac4bcc80e018d56"},"headline":"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil","datePublished":"2014-10-02T15:43:00+00:00","dateModified":"2022-03-30T17:51:38+00:00","mainEntityOfPage":{"@id":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/"},"wordCount":686,"keywords":["AutoIt","Brasil","Google Chrome","Not\u00edcia","PSafe Total","Python"],"articleSection":["Ciberataques"],"inLanguage":"pt-BR"},{"@type":"WebPage","@id":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/","url":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/","name":"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil | dfndr blog - PSafe","isPartOf":{"@id":"https:\/\/www.psafe.com\/blog\/#website"},"datePublished":"2014-10-02T15:43:00+00:00","dateModified":"2022-03-30T17:51:38+00:00","author":{"@id":"https:\/\/www.psafe.com\/blog\/#\/schema\/person\/e35802b52c4fe95b8ac4bcc80e018d56"},"description":"Malwares brasileiros que utilizam AutoIt para mascarar atividade maliciosa s\u00e3o detectados pelo laborat\u00f3rio de an\u00e1lise da PSafe Tecnologia.","breadcrumb":{"@id":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/#breadcrumb"},"inLanguage":"pt-BR","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"In\u00edcio","item":"https:\/\/www.psafe.com\/blog\/"},{"@type":"ListItem","position":2,"name":"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil"}]},{"@type":"WebSite","@id":"https:\/\/www.psafe.com\/blog\/#website","url":"https:\/\/www.psafe.com\/blog\/","name":"dfndr blog - PSafe","description":"Dicas e not\u00edcias sobre ciberseguran\u00e7a, ciberataques, privacidade, desempenho, intelig\u00eancia artificial e o mercado digital","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.psafe.com\/blog\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"pt-BR"},{"@type":"Person","@id":"https:\/\/www.psafe.com\/blog\/#\/schema\/person\/e35802b52c4fe95b8ac4bcc80e018d56","name":"Reda\u00e7\u00e3o PSafe","image":{"@type":"ImageObject","inLanguage":"pt-BR","@id":"https:\/\/secure.gravatar.com\/avatar\/0ce470a17403045075d8cd48a742ebd97c085f6d510cfd605fb223ba3fad770b?s=96&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/0ce470a17403045075d8cd48a742ebd97c085f6d510cfd605fb223ba3fad770b?s=96&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/0ce470a17403045075d8cd48a742ebd97c085f6d510cfd605fb223ba3fad770b?s=96&r=g","caption":"Reda\u00e7\u00e3o PSafe"},"description":"O dfndr blog \u00e9 um canal de car\u00e1ter informativo que apresenta conte\u00fados exclusivos sobre seguran\u00e7a e privacidade no mundo mobile e empresarial, com dicas para manter a popula\u00e7\u00e3o protegida. Formado por uma equipe de rep\u00f3rteres especializados, o canal conta com a parceria dos especialistas em seguran\u00e7a do dfndr lab para trazer, em primeira m\u00e3o, not\u00edcias sobre ataques, golpes, vulnerabilidades na internet, malwares e suas varia\u00e7\u00f5es.","sameAs":["https:\/\/www.psafe.com"],"url":"https:\/\/www.psafe.com\/blog\/author\/redacao\/"}]}},"_links":{"self":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/4988","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/users\/114"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/comments?post=4988"}],"version-history":[{"count":0,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/4988\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/media?parent=4988"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/categories?post=4988"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/tags?post=4988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}