Informações, notícias e muito mais!

Dissecando um e-mail contendo link para um malware

https://www.boxcryptor.com/it/blog/post/malware-in-email-attachments/

Diariamente recebemos e-mails, onde muitos deles vão parar na pasta do SPAM ou na caixa de entrada (caso não possua um filtro legal). A maioria possui links que apontam para um determinado site, de onde um malware poderá ser baixado.

Como a intenção dos caras é infectar o maior número de vítimas, qual sistema operacional será o escolhido? Te pago um doce. Pensou no Windows? Pensou certo!

Nunca dei muita bola para esse tipo de e-mail, pois já que estão na caixa de SPAM e realmente não foram solicitados por mim, porque se dar ao trabalho de abri-los?

Mas dessa vez, resolvi olhar a fundo esse negócio.

A infecção pelo e-mail, vale a pena ver de novo

No início dos anos 2000, um dos meios mais utilizados para os vírus se propagarem era através do e-mail. Poderia ser um arquivo em anexo ou o link para um site malicioso. Bastava uma simples propaganda de um produto tal ou uma foto picante, para a vítima abrir o anexo ou clicar no link.

O que mudou desse tempo para hoje em dia? Praticamente nada. Os malwares estão mais avançados? Sim. Mas eles chegam na maioria das vezes por e-mail ou pelas redes sociais.

Isso é engenharia social?

O ato de convencer as pessoas  a executarem tais procedimentos, sem elas perceberem o “perigo” real de suas ações, podemos chamar de engenharia social. Seja alguém ligando para o seu celular pedindo informações sigilosas, te abordando na rua para que você forneça dados de seu cartão de crédito ou que você clique no link para baixar um boleto ou atualizar um cadastro, isso é engenharia social.

O envio do fake mail (e-mail falso)

O início do ataque começa basicamente por uma conexão em um servidor de e-mail vulnerável (alô Locaweb, não encontrei no site um canal para envio das evidências) que permite o envio do malware para as vítimas. Normalmente o atacante utiliza uma ferramenta que automatiza esse processo. Não achei legal colocar neste post o cabeçalho do e-mail que recebi, pois ele contém o IP (mostra até o hostname do note da pessoa) que fez o envio (algum cliente da Oi), os servidores de e-mail, dentre outras informações.

Obs: De posse do cabeçalho, você pode cola-lo neste site, para ter uma visão melhor. Às vezes olhando direto no leitor de e-mail o conteúdo fica bagunçado, por isso esse site poderá te ajudar.

Querem que eu pague um boleto!

E-mail informando que o boleto para pagamento está disponível
E-mail informando que o boleto para pagamento está disponível

No meu caso, quando você posiciona o botão do mouse sob o link do “boleto”, podemos ver que o destino real aparece e não tem nada a ver com o de um boleto. É, tem gente se preocupando com as minhas contas!

Analisando o link real

É interessante fazer esta análise utilizando qualquer distribuição Linux, para podermos ver o que a ameaça está fazendo.

Download do arquivo malicioso

Utilizando o comando wget, apontando para o link malicioso, teremos o seguinte resultado

Repare no destaque da imagem, que o link real aponta para um daqueles sites de compartilhamento de arquivos. Mas como estamos utilizando o Linux, o arquivo baixado possui o mesmo nome do que está na final da url.

Se fizermos o download do arquivo que está no link do Filebin, verá que ele possui o mesmo tamanho do arquivo baixado anteriormente:

Descompactando o arquivo

Após descompactar o arquivo zip, um arquivo com extensão bat é revelado:

Visualizando o conteúdo do arquivo

Utilize o comando cat para visualizar o conteúdo do arquivo:


Podemos ver que trata-se de um arquivo bat, que gera um arquivo do tipo VBScript, contendo algumas funcionalidades que irão interagir com o sistema operacional. Posteriormente o arquivo .bat realiza o restart do sistema operacional. Repare que esta imagem faz o download de um arquivo de imagem com extensão png.

O conteúdo deste arquivo png (mostrado na imagem abaixo) mostra que ele possui uma funcionalidade a ser chamada, bem como enviar para um servidor localizado na nuvem, o log referente as ações executadas no computador da vítima.

Enviando os arquivos para análise

Um dos sites mais utilizados pelos analistas de malware, para verificar se aquele arquivo malicioso é reconhecido pelas ferramentas de antivírus, é o site VirusTotal. Bascimente você acessa o site e envia o arquivo para análise.

O resultado da análise do arquivo BOL2018FSDRE4353.bat, pode ser verificado na imagem abaixo:

Você pode conferir o relatório completo clicando neste link.

Já o relatório do arquivo al.png pode ser verificado na imagem abaixo

O relatório completo do arquivo al.png pode ser conferido neste link.

Os dois relatórios mostram que os arquivos maliciosos NÃO foram reconhecidos pelas principais ferramentas de antivírus.

Conclusão

O que foi mostrado aqui é apenas uma das milhares de situações que ocorrem a todo momento, milhares e milhares de vezes. Por isso vale a antiga caro(a) padawan: Não clique nos links que receber por e-mail, muito menos em anexos que parecerem vir de pessoas desconhecidas (se bem que você pode ter uma sorte de algum conhecido te enviar). Na dúvida, no caso de pessoas conhecidas, mande um  e-mail perguntando se ela realmente enviou.

 

Comentários