Fraudadores usam servidores do Facebook para disseminar malware

Softwares antivírus são ferramentas desenvolvidas para proteger usuários contra ameaças externas que chegam em diversas frentes. Na maioria dos casos, links maliciosos, arquivos infectados em drives externos e cartões de memória, e-mails com malwares anexados e outras ameaças são barradas por esses softwares, evitando a infecção do computador. Mas o que acontece quando a ameaça chega através de um site considerado legítimo pelo antivírus?

 

Cleiton Pinheiro, pesquisador do El Pescador, descobriu recentemente um malware hospedado em um dos servidores do Facebook algo que, segundo ele, “não é comum, mas pode acontecer”. “Recebemos uma URL para análise e nos caminhos de infecção foi identificado que o servidor final é pertencente ao Facebook”, conta.

 

O malware, como disse Cleiton, é o ponto final de um golpe que começa com um phishing via e-mail. No golpe, a vítima recebe a seguinte mensagem:

Blog El Pescador Malware Facebook01

 

 

Veja a origem da mensagem descrita abaixo:

From – Wed Feb 24 10:10:15 2016
Return-Path: <[email protected]>
Received: by mail.VITIMA.br (Postfix, from userid 500)
id C5BBC1DF8A1; Wed, 24 Feb 2016 08:57:20 -0300 (BRT)

Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=189.17.173.21; helo=mail.arenovar.com.br; [email protected]; receiver=[email protected]

Subject: Re: Ordem Tahuamanu S.A. 080208
Message-ID: <[email protected]>
X-Mailer: Zimbra 7.1.3_GA_3346 (zclient/7.1.3_GA_3346)

Domínio: arenovar.com.br
Proprietário: A RENOVAR UTILIDADES PARA O LAR LTDA
IP: 189.17.173.21
Proprietário: CLARO S.A.
Responsabilidade: Gerência Internet EMBRATEL

 

O link da mensagem aponta para o endereço http://216.156.135.5/BBloqueto-02-2016.doc que, segundo Cleiton, é uma página aparentemente legítima, que hospeda um arquivo aparentemente legítimo mas, na verdade, redireciona a vítima para um outro servidor: “o atacante faz parecer que se trata de um arquivo legítimo, mas na verdade   BBloqueto-02-2016.doc é uma pasta que acessa a index.php. O código do arquivo index.php é um redirecionamento para endereço final”.

 

 

Veja o código mencionado por Cleiton:

<?php header(‘Location: http://URL_FINAL‘); exit;?>

 

O golpista usa essa técnica para que o endereço final passe despercebido, visando burlar a maioria dos softwares antivírus.

Blog El Pescador Malware Facebook02

 

Um servidor do Facebook hospedando malware

Como vimos, ao clicar no link a vítima é direcionada pelo arquivo falso ao destino final, que fará o download do malware que infectará o computador. O destino final, neste caso, é um servidor do Facebook, o que chamou a atenção do pesquisador. Para ele “Os atacantes utilizaram alguma falha de segurança da plataforma para utilizar o carregamento de arquivos de forma maliciosa, o download é feito sem necessidade de ser usuário da rede social”

 

O link para o servidor que hospeda o malware é:

https://cdn.fbsbx.com/hphotos-xfp1/v/t59.2708-21/12726304_964925260255701_968799082_n.zip/BBLO-QU3-7O-FEVEREIRO-897879879BB3.zip?oh=6135e3977bbcece6b9ffe0b355f63aba&oe=56CFA68F&dl=1

 

Trata-se, segundo o suporte do Facebook, de um domínio Sandbox (fbsbx.com), usado para “hospedar conteúdo gerado pelo usuário que é potencialmente perigoso”. Obviamente, esse domínio também passava sem problemas pela maioria dos softwares antivírus:

 

Blog El Pescador Malware Facebook03

 

Uma análise simples do Malware

 

  • Arquivo baixado
  • Arquivo: BBLO-QU3-7O-FEVEREIRO-897879879BB3.zip

 

  • Descompactado:
  • Arquivo: BBLO-QU3-7O–FEVEREIRO–897879879BB3.exe

 

  • Máquinas alvo: Intel 386 ou compatíveis:
    • Tamanho: 2935296  –  2,9 MB
    • FileType: Extension.exe
    • FileType: Win32EXE
    • CodeSize: 2532352
    • Compilador: Borland Delphi 2006
  • URL request:
    • GET: 108.179.192.200/~porta598/sony/notify.php
    • GET: 64.233.177.128/amrazenamento004948785/upwebx2.zip
    • GET: 64.233.177.128/crls/secureca.crl
    • GET: 23.47.21.163/crls/gtglobal.crl
    • GET: 65.196.188.59/GIAG2.crl

 

  • Resolução domínio:
  • storage.googleapis.com: 64.233.177.128
  • crl.geotrust.com: 23.47.21.163
  • g.symcb.com: 23.47.21.163
  • pki.google.com: 65.196.188.59

 

 

  • Comandos executados:
  • C:\WINDOWS\system32\cmd.exe /C \temp_dino\ARAYDCOMANDO.exe /install /silent
  • C:\WINDOWS\System32\svchost.exe -k netsvcs
  • C:\WINDOWS\system32\svchost.exe -k NetworkService
  • C:\WINDOWS\system32\svchost.exe -k LocalService

 

  • Alteração valor Regedit:
  • \REGISTRY\USER\S-1-5-21-602162358-879983540-1177238915-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache Value: C:\BBLO_QU3_7O__FEVEREIRO__897879879BB3.exe

 

  • Arquivos criados:
    • Arquivo: C:\ok.txt
    • Arquivo: C:\temp_dino\

 

  • Arquivos lidos:
    • Arquivo: C:\WINDOWS\win.ini
    • Arquivo: PIPE\lsarpc

 

  • Arquivos modificados:
    • Arquivo: PIPE\lsarpc
    • Arquivo: \Device\Afd\Endpoint

 

  • Diretórios criados:
  • Diretório: \temp_dino\

 

À partir da execução, o malware – do tipo Trojan –  cria uma interação direta entre o atacante e a máquina infectada, podendo enviar ao golpista informações como credenciais de acesso e recebendo atualizações. Segundo Cleiton, o IP usado nesta comunicação já tem denúncias de ataque de phishing.

Blog El Pescador Malware Facebook04

 

Um problema crítico, segundo o pesquisador, é o fato de o malware poder ser distribuído dentro da rede social sem despertar atenção, já que se trata de um arquivo hospedado dentro dos servidores do próprio Facebook – que já foi informado da vulnerabilidade.

 

Para Cleiton, esse caso prova que  “manter seu sistema de segurança atualizado, a definição de regras para proteção de informações internas é de suma importância” mas ele observa que muitas vezes “a falha principal está no usuário que não deve confiar em e-mails desconhecidos ou baixar arquivos sem as devidas validações de remetente”.


Leave a Reply

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

*