IBlog PE

BackHole - A mais nova arma dos cibercriminosos brasileiros

Em uma evolução natural e esperada, recentemente os cibercriminosos brasileiros adotaram pela primeira vez no país o uso exploit kits em seus ataques. O escolhido foi o BlackHole, um exploit kit muito comum entre cibercriminosos do leste europeu. Ele foi encontrado em um ataque recente, criado para distribuir trojans bancários. O kit explora falhas de softwares populares e assim potencializa o número de novas vítimas e de computadores infectados.

Exploit kits são pacotes de códigos prontos, negociados entre cibercriminosos com o intuito de automatizar ataques através da web. Nesses ataques são usadas as falhas de segurança de programas populares, como leitores de PDF, plugins de navegadores, e até mesmo falhas do Windows. Os kits ainda fornecem estatísticas, informando quantos internautas acessaram as páginas infectadas, quantos foram infectados com sucesso e qual a falha que mais foi usada com sucesso.

Um exploit kit custa caro: uma cópia da última versão do BlackHole custa em média U$ 2.500,00 (dois mil e quinhentos dólares). Os desenvolvedores que negociam o exploit kit com outros cibercriminosos também alugam ou vendem versões pré-pagas do kit – o aluguel pode sair por U$ 50,00 (cinquenta dólares) por dia de uso. O Blackhole é comumente usado em esquemas maliciosos que envolvem a instalação de antivírus falsos, rootkits e outras pragas que não são tão comuns no Brasil.

O uso de exploit kits em ataques nacionais significa na prática que os clientes de internet banking estarão expostos a mais riscos enquanto navegam, e poderão ser infectados mais facilmente, sem que ao menos percebam isso. Seu uso permite ao cibercriminoso explorar falhas de segurança recentemente descobertas, e assim infectar um número maior de vítimas, visto que nem todos os usuários tem a preocupação de instalar atualizações de segurança. Os ataques geralmente são bem elaborados, desenvolvidos de forma a terem uma baixa taxa de detecção e bloqueio pelas soluções de segurança mais usadas.

Nesse artigo vamos analisar em profundidade um ataque brasileiro usando o BlackHole e como o usuário pode se proteger dele. Daremos também detalhes do número de infectados e sua localização

Tudo começa com um e-mail e uma curiosidade

A abordagem começa através de um e-mail, usando a velha técnica da engenharia social, despertando a curiosidade e convidando o usuário a clicar e assistir um suposto vídeo da “Juju Panicat”.

A mensagem pede para que o usuário clique no link  http://0.917485.[removido].tv/panicotv/juju/videocenrurado. Logo após haverá um redirecionamento para outra página hospedada no domínio co.cc, onde os códigos do exploit kit estarão prontos para entrarem em ação, sem que haja uma única ação do usuário.  Será exibida na página a mensagem padrão, programada pelo exploit kit, pedindo para que o usuário aguarde:

Nesse ponto o exploit kit já estará em ação, realizando diversos testes para verificar quais softwares desatualizados o usuário tem instalado em sua máquina. Ele tentará encontrar qual versão de leitor de PDF está configurado no navegador, assim como as versões do Java, Flash Player, e até mesmo a versão do Windows. A partir dessa análise, o exploit kit dará o próximo passo para concluir a infecção, executando o código malicioso de acordo com o programa desatualizado encontrado.

Nesse cenário o exploit kit baixará para o computador da vítima um trojan, que será automaticamente executado, sem que ele perceba. O trojan por sua vez irá configurar um proxy malicioso no navegador da vítima, e assim redirecioná-lo para sites falsos de bancos brasileiros durante o acesso ao serviço de internet banking.

Como se proteger

É extremamente importante manter todos os plugins atualizados: Flash Player, Java e leitor de arquivos PDF. Devido ao grande número de ataques envolvendo o Java, especialistas sugerem que os usuários removam o plugin ou desative-o. Também sugerimos aos usuários que escolham um navegador de internet mais seguros, como o Google Chrome, que possui uma tecnologia chamada “sandbox”, capaz de bloquear alguns ataques.

Basta que apenas um software esteja desatualizado em seu PC para que você seja vítima de um ataque como esse.  Um antivírus atualizado também é essencial para completar a proteção do computador.

Verifica inclusive o user-agent do navegador:

Depois de determinada a versão do navegador, o script irá verificar quais plugins estão instalados e ativados.  A primeira verificação será dos ActiveX no Internet Explorer, do Flash Player, do Adobe Reader e do Java:

Os principais exploits usados para infectar o sistema são o Adobe Reader Libtiff (CVE-2010-0188) e a Windows Help Center URL Validation Vulnerability (CVE-2010-1885). Para cada verificação completada, o script tomará a decisão de explorar a falha encontrada ou continuar a verificação até encontrar uma falha ativa, aplicando o exploit correspondente e executando um shellcode. Caso o plugin desatualizado seja o Adobe Reader, será baixado um PDF, que será aberto diretamente no navegador. O PDF malicioso tem uma taxa mediana de detecção dos produtos antivírus (12/42):

Trecho do PDF malicioso usado pelo exploit kit

O exploit kit também tentará explorar a falha do Help Center do Windows, passando como parâmetro uma URL maliciosa para ser executada pelo protocolo HCP:

Nesse caso um shellcode será baixado e salvo na pasta temporária do navegador. Imediatamente ele será renomeado para nomes como info.exe, calc.exe, ou contacts.exe, que são nomes padrões usados pelo BlackHole. Trata-se de um PE UPX de 23 kb, com a mesma taxa de detecção do arquivo PDF (12/42).  Esse executável será responsável por duas mudanças importantes no sistema: o download de  outro arquivos, um deles chamdo winsys.exe, de 323 kb e também por alterar as configurações de proxy do navegador.

Na etapa final, caso o navegador do usuário seja baseado no Mozilla, um Proxy malicioso será configurado:

Caso o navegador seja o Internet Explorer, o executável winsys.exe irá salvar numa pasta temporária um arquivo chamadowinsys.pac e irá configura-lo como script de proxy ativo:

Os scripts de proxy possuem baixíssima taxa de detecção pelos programas antivírus (2/42) e uma vez configurados no navegador da vítima irão direcioná-la para páginas de phishing de banco, de serviços de webmail e de cartão de crédito.

Gerenciando o roubo

Para medir o alcance e a efetividade do golpe, o exploit kit oferece ao cibercriminoso um painel de controle bastante completo, com informações estatísticas como sistema operacional e navegador, localização geográfica da vítima e qual exploit do kit foi mais efetivo no golpe. Tivemos acesso ao painel de controle do caso analisado: no momento da análise 905 computadores estavam infectados e configurados com o proxy malicioso, desses 378 no Brasil.  Vários outros países também estavam na lista.  Em um único dia o cibercriminoso infectou 171 pessoas:

Usuários de Internet Explorer e Windows XP (que ainda são bastante usados no Brasil) foram os maiores infectados. Percentualmente menos de 5% dos usuários do Google Chrome que foram expostos ao golpe foram infectados, contra 23% do Internet Explorer.

Os exploits mais bem sucedidos em infectar os usuários foram em Java (applet malicioso) e PDF:

Conclusão

Os ataques usando exploit kits tem grande possibilidade de se tornarem padrão entre os cibercriminosos brasileiros. Apesar do alto custo do kit, o número de vítimas é potencializado pelo fato de muitas delas não aplicarem atualizações constantes no sistema e pela baixa taxa de detecção das ameaças, especialmente pelas suítes de segurança populares.

O antivírus Kaspersky possuí uma proteção nativa contra exploit kits, chamada de Automated Exploit Protection, criada especificamente para bloquear esse tipo de infecção, já para os antivírus Avast e o Avira Antivírus terá que fazer uma varredura automática toda a vez quando for inicializado o sistema, já o essa infecção se prolifera através de plugin's ou programas de inicialização, lembrando que não será 100% seguro. Fica a dica!!

Postado e adaptado por Bergh Nunes
Fonte: Blog da Kaspersky/
Texto: Fabio Assolini