{"id":4988,"date":"2014-10-02T12:43:00","date_gmt":"2014-10-02T15:43:00","guid":{"rendered":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil"},"modified":"2022-03-30T14:51:38","modified_gmt":"2022-03-30T17:51:38","slug":"tecnica-packing-autoit-esconde-bolware-no-brasil","status":"publish","type":"post","link":"https:\/\/www.psafe.com\/blog\/tecnica-packing-autoit-esconde-bolware-no-brasil\/","title":{"rendered":"T\u00e9cnica de packing em AutoIt esconde Bolware no Brasil"},"content":{"rendered":"\n

Nos \u00faltimos meses, percebemos um aumento do n\u00famero de arquivos recebidos pelo nosso laborat\u00f3rio de an\u00e1lise que est\u00e3o utilizando scripts em AutoIt para dificultar a identifica\u00e7\u00e3o do m\u00f3dulo malicioso. <\/p>\n\n\n\n

A t\u00e9cnica foi encontrada apenas em malwares brasileiros at\u00e9 o momento, combina diversos c\u00f3digos dispon\u00edveis na internet e \u00e9 usada para camuflar o bin\u00e1rio malicioso. Entenda a amea\u00e7a que j\u00e1 infectou mais de 3 mil computadores no Pa\u00eds e \u00e9 instalada em aproximadamente 300 novas m\u00e1quinas a cada dia.<\/p>\n\n\n\n

Em um dos casos analisados, recebemos o seguinte e-mail informando que o t\u00edtulo eleitoral foi cancelado provisoriamente, solicitando ao usu\u00e1rio que ele leia o regulamento em anexo.<\/p>\n\n\n\n

Ao realizar o download e executar o arquivo baixado, ele come\u00e7a a realizar o download de alguns outros m\u00f3dulos necess\u00e1rios.<\/p>\n\n\n\n

Ap\u00f3s descompactado, este primeiro m\u00f3dulo baixado possui um execut\u00e1vel que foi gerado utilizando AutoIt. Ao extrair o script usado pelo execut\u00e1vel, foi poss\u00edvel identificar que o c\u00f3digo estava ofuscado para dificultar a an\u00e1lise e identifica\u00e7\u00e3o do malware.<\/p>\n\n\n\n

Todas as strings utilizadas no script foram encriptadas e a fun\u00e7\u00e3o de descriptografia implementada dentro do c\u00f3digo \u00e9 utilizada para descriptografar o conte\u00fado ao executar-se. Para facilitar a an\u00e1lise do c\u00f3digo, reescrevemos a fun\u00e7\u00e3o em Python e substitu\u00edmos as chamadas das fun\u00e7\u00f5es pelo conte\u00fado retornado. O c\u00f3digo final ficou mais simples de ser analisado.<\/p>\n\n\n\n

Estudando o c\u00f3digo, foi poss\u00edvel identificar que o script carrega o pr\u00f3prio execut\u00e1vel, descarrega o conte\u00fado do mesmo e escreve na \u00e1rea de mem\u00f3ria do processo o conte\u00fado de um outro bin\u00e1rio que est\u00e1 embutido no execut\u00e1vel. Esta t\u00e9cnica j\u00e1 foi detalhada no post sobre o Bolware<\/a>.<\/p>\n\n\n\n

O que \u00e9 diferente neste Bolware<\/h2>\n\n\n\n

O interessante desta amostra \u00e9 a forma que ele utiliza para descompactar o bin\u00e1rio que est\u00e1 embutido dentro do execut\u00e1vel. Ele abre o bin\u00e1rio original e procura pelo identificador \u201cdaosd7asdyasiduasydasuidgvas\u201d, que marca o in\u00edcio do bin\u00e1rio criptografado e tamb\u00e9m \u00e9 utilizado como chave para descriptografar o conte\u00fado.<\/p>\n\n\n\n

O conte\u00fado \u00e9 descriptografado pelo c\u00f3digo que est\u00e1 representado in-line e executado utilizando a fun\u00e7\u00e3o CallWindowProc, retornando ent\u00e3o o conte\u00fado do arquivo final.<\/p>\n\n\n\n

Este conte\u00fado ser\u00e1 escrito para a mem\u00f3ria do processo do AutoIt, fazendo com que ele nunca seja escrito em disco. Esta t\u00e9cnica funciona de uma forma similar ao comportamento de um packer, complicando a an\u00e1lise do bin\u00e1rio malicioso.<\/p>\n\n\n\n

O que faz este malware<\/h2>\n\n\n\n

O bin\u00e1rio final tem objetivo de monitorar o acesso aos navegadores do usu\u00e1rio capturando logins e credenciais para acesso aos principais bancos brasileiros.<\/p>\n\n\n\n

Abaixo uma lista de strings descriptografadas dentro do execut\u00e1vel:<\/p>\n\n\n\n

Ap\u00f3s todo este processo, ainda temos o outro arquivo que foi baixado junto com o bin\u00e1rio em AutoIt. Este segundo bin\u00e1rio se encarrega de instalar uma extens\u00e3o hospedada na Chrome Store.<\/p>\n\n\n\n

Uma particularidade desta extens\u00e3o \u00e9 que, se voc\u00ea fizer o download do Chrome Store, ela n\u00e3o tem conte\u00fado malicioso, \u00e9 apenas um Hello World conforme a imagem abaixo:<\/p>\n\n\n\n

Por\u00e9m, como ela possui as permiss\u00f5es necess\u00e1rias para monitorar a URL acessada, o malware modifica o conte\u00fado da extens\u00e3o ap\u00f3s a instala\u00e7\u00e3o, inserindo um conte\u00fado malicioso.<\/p>\n\n\n\n

Ap\u00f3s desofuscar, \u00e9 poss\u00edvel identificar algumas strings relacionadas a ataques direcionados a boletos banc\u00e1rios.<\/p>\n\n\n\n

Contactamos a equipe do Google, a empresa esclareceu que o item n\u00e3o pode ser removido da Chrome Store, pois a  vers\u00e3o atual n\u00e3o possui nenhum c\u00f3digo malicioso. Este tipo de ataque que reescreve a extens\u00e3o j\u00e1 \u00e9 conhecido pela empresa e a solu\u00e7\u00e3o ser\u00e1 liberada na vers\u00e3o 38 do Google Chrome.<\/p>\n\n\n\n

Este exemplo \u00e9 apenas para ilustrar como os criminosos continuam buscando temas atuais para tentar infectar computadores de brasileiros para cometer fraudes banc\u00e1rias.<\/div>\n","protected":false},"excerpt":{"rendered":"

Malwares brasileiros que utilizam AutoIt para mascarar atividade maliciosa s\u00e3o detectados pelo laborat\u00f3rio de an\u00e1lise da PSafe Tecnologia.<\/p>\n","protected":false},"author":114,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_crdt_document":"","ngg_post_thumbnail":0,"footnotes":""},"categories":[555],"tags":[599,376,4851,6659,11989,12022],"class_list":["post-4988","post","type-post","status-publish","format-standard","hentry","category-ciberataques","tag-autoit","tag-brasil","tag-google-chrome","tag-noticia","tag-psafe-total","tag-python"],"_links":{"self":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/4988","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/users\/114"}],"replies":[{"embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/comments?post=4988"}],"version-history":[{"count":0,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/posts\/4988\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/media?parent=4988"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/categories?post=4988"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.psafe.com\/blog\/wp-json\/wp\/v2\/tags?post=4988"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}