Malware bancário no Brasil - XPCTRA RAT ANALYSIS

Publicado por Oscar Juárez - 21/11/2017

No final do mês de setembro de 2017 foi publicada uma notícia na qual era indicada a presença de um Spybanker malware bancário denominado XPCTRA (Expectra).

Seus objetivos são os de sempre:

  • Roubar credenciais bancárias 
  • Conseguir informação para continuar se expandindo 

A Labs buguroo realizou uma análise profunda e concluiu que se trata simplesmente de uma pequena modificação de um malware já existente, portanto, neste post analisaremos apenas as funcionalidades novas que ele apresenta.

Nosso protagonista é o binário com sha256: 98337ca50d0cac2fab4566a39c6149328889bb06a6dd56a4c2a66cbea326138c.

Na análise inicial, observamos que sua estrutura é bastante semelhante à família QuasarRAT. Isso fica evidente ao comparar a estrutura do binário analisado neste post com a estrutura típica de um malware QuasarRAT compilado com as opções padrão do  código publicado no github.  Há algumas pequenas diferenças, já que o código publicado no github é uma versão mais recente.

BinaryStructure.pngIlustração 1. Estrutura do binário em estudo

ss-2017-11-06_1226_29.png

Ilustração 2. Estrutura QuasarRAT 

 

Durante toda sua execução e uso, faz referência a uma série de parâmetros aos quais denomina “settings”, que nos permitem fazer um seguimento mais detalhado de todas as ações que tem previstas:

Config.pngIlustração 3. Settings do binário 

 

A. INSTALAÇÃO 

A primeira coisa que ele faz é se instalar no computador da vítima, e para isso utiliza um certificado digital para interceptar o tráfego https.

Pode ocorrer que o certificado já estivesse instalado no computador do usuário. Se for assim, o código malicioso saltará diretamente à fase de roubo das credenciais bancárias.

Se não estiver instalado, ele gera um certificado e o instala através da ferramenta do sistema certutil:
 

“certutil –addstore \Root\$Variable_Path\fiddlerRoot.cet”

Caso ocorram erros na instalação, ele tenta criar um certificado através da resolução de tela do computador da vítima. Para identificar a resolução de tela real, fecha os navegadores que possam estar abertos (firefox.exe, chrome.exe ou iexplore.exe) e termina sua execução por meio do comando:

“taskkill /f /im $Nombre_proceso.exe”

Uma vez que dispõe da resolução da tela, ele gera o certificado utilizando as posições do mouse originadas, conforme é mostrado a seguir.

InstallCertificado.png
lIlustração 4. Coordenadas certificado 

Uma vez instalado, começa a recopilação de dados da máquina que está infectada. Para isso, o programa recupera as seguintes informações:

  • Nome da máquina infectada 
  • Nome do usuário 
  • Arquitetura da máquina 
  • Diretório onde se encontra o arquivo executável 
  • Rota para o Path da pasta Temp 
  • Resolução da tela
  • Mac Address do equipamento 
  • Se contém algum dos plugins para Banco do Brasil ou Caixa Econômica Federal instalados
  • Se existe algum antivírus no equipamento

  PN.png

Ilustração 5.Informação recolhida do equipamento 

Quando já dispõe das informações que procurava, ganha persistência no sistema elevando os privilégios. Para conseguir isso, adiciona uma chave no registro do Windows que comprova sua existência em cada início de execução do binário: 

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run”

SALADEIRA.png

E para tentar elevar privilégios no mesmo, em primeiro lugar é criado um usuário com nome de usuário “user” e senha “!@c4rnic3ir0!@”. Este usuário trata de dar privilégios de administrador, assim como de se acrescentar ao grupo de usuários que têm a capacidade de se conectar à máquina de forma remota. 

GOLFISTA.png

Uma vez conseguida a persistência e tendo as autorizações que considera necessárias, ele informa ao painel de controle que existe um novo usuário infectado. 

Para isso, envia a informação do equipamento infectado através de uma petição ao painel de controle (C&C): 

 ss-2017-11-06_1336_13.png

lIlustração 6. Informação no painel de controle 

Após notificar o painel de controle que existe um novo infectado, o malware trata de geolocalizar o usuário. Para consegui-lo, realiza petições aos seguintes sites onde pode obter o endereço IP Público, juntamente com a geolocalização do mesmo: 

Finaliza assim sua instalação e execução, de modo que passa à fase de exploração. 

 

B. ROUBO DE CREDENCIAIS BANCÁRIAS 

Para roubar as credenciais bancárias, o malware comprova a URL que o usuário infectado acessa a partir do browser. 

Para se proteger em seu rastreamento, se detectar que o usuário navega por alguma página de antivírus ou que existem processos de antivírus ativados que estão se executando no sistema, ou até mesmo se o computador estiver se conectando a algum outro site que possa levar à detecção do malware, este mostra um erro 404 com uma mensagem indicando que o site não se encontra disponível neste momento. 

NECROLOGIA.png Ilustração 7. Urls que o malware tenta evitar 

A lista completa de URLs que o malware detecta e bloqueia com a mensagem de erro 404 são as seguintes: 

 

Quando descarta a lista anterior, passa a comprovar se o usuário está acessando alguma URL objetivo para roubar suas credenciais bancárias. As URL objetivo são as seguintes:

 

Em relação às URL objetivo, caso o usuário acesse um dos sites bancários do Banco do Brasil ou da Caixa Econômica Federal, o malware se comporta de uma maneira diferente. 

Para estes casos, o malware comprova se existem no sistema os arquivos: 

  • LockBB.txt para Banco do Brasil
  • LockCef.txt para Caixa Económica Federal

Este arquivo, que inclui mensagens de engano do tipo “o site não está disponível devido a atividades de manutenção”, é criado com a intenção de fazer com que o usuário não consiga acessar o site do seu banco durante 24 horas, tempo que o delinquente cibernético aproveita para roubar seu dinheiro. 

No arquivo, é escrita a expressão regular com o dia, mês e hora em que se produzirá o bloqueio para efetuar o roubo.

“Dia:(?<Dia>\\d+)\\r\\\nMes:(?<Mes>\\d+)\\r\\nHora:(?<Hora>\\d+)”

Quando um usuário tenta acessar um dos sites objetivo, o malware envia a seguinte informação:

  • Endereço IP
  • Nome da máquina
  • Tipo
  • Endereço MAC
  • Nome do objetivo 

Após a notificação, o delinquente cibernético pode realizar alguma das seguintes ações:

  • Encerrar a conexão com a URL objetivo. 
  • Mandar os cookies do site ao qual o usuário tentou se conectar, gerando um arquivo com extensão sqlite.
  • Fazer com que se exiba ao usuário uma tela para introduzir sua senha de acesso. 
  • Bloquear o acesso ao banco durante 24 horas, criando o arquivo LockBB.txt ou LockCef.txt. 

O malware executa as tarefas para começar a se comportar como o RAT Quasar, para que o criminoso possa assumir o controle da máquina infectada. Isto confirma nossas suspeitas iniciais de que se trata de uma modificação deste malware. 

Para o segundo caso, em que as URL objetivo não são Banco do Brasil ou Caixa Econômica Federal, o malware mostra uma tela com um login falso para tentar roubar as credenciais bancárias do usuário infectado e enviá-las ao delinquente cibernético.

Caso a URL não coincida com nenhuma das que se encontram entre os objetivos, ele revisa se corresponde a alguma das seguintes:

Se coincidir, rouba o e-mail e a senha que o usuário introduziu, assim como o serviço que ele acessou, e os armazena num arquivo denominado “E-Vit.txt”, que será utilizado mais tarde. 

 

C. ROUBO DE INFORMAÇÃO PARA SUA EXPANSÃO

Após materializar o roubo, começam as tarefas para se expandir e infectar outros usuários.

Procurar vários arquivos com extensões específicas, em busca de endereços de e-mail aos quais enviar um spam para infectar também outros usuários relacionados com a vítima.

Na mesma pasta onde foi copiado o malware existem 3 arquivos que serão usados nesta fase:

  • Enviado.txt: arquivo que contém uma lista de e-mails aos quais o spam já foi enviado. 
  • E-Enviar.txt: arquivo que contém uma lista de e-mails aos quais o spam será enviado. 
  • E-Vit.txt: arquivo que contém as credenciais de acesso a diferentes serviços de mail, que foram subtraídas do usuário infectado e que serão utilizadas para realizar o envio do spam.

Para isso, recupera a informação de rota para os seguintes diretórios:

  • Pasta Escritório
  • Pasta pessoal do usuário
  • C:\\

Em cada um dos diretórios anteriores, o malware lista todos os arquivos existentes e comprova se algum deles contém a seguinte extensão:  

  • Txt
  • Doc
  • Dat
  • Wab
  • Xlxs

O malware adicionará todos os endereços de e-mail ao arquivo “E-Enviar.txt”, que pode ser encontrado onde o binário está se executando. 

Uma vez terminada a busca de e-mails no computador da vítima, comprova se os arquivos E-enviar.txt e E-Vit.txt existem. Caso existam ambos, o malware comprova que os e-mails que se encontram no E-Enviar.txt já não estejam presentes no arquivo Enviado.txt

O malware se conecta com a tabela de Spam do e-mail e a vai preenchendo com os e-mails que foi conseguindo: 

http://lucifer.icejuice.xyz/master/conf/Html.txt

Email_spam.png

Uma vez enviado o e-mail à vítima potencial, o endereço de e-mail é acrescentado ao arquivo Enviado.txt para ter um maior controle da campanha.

Por último, o malware notifica o painel de controle (C&C) todos os endereços de e-mail aos quais foi enviado o spam.

 

D. IOC

IOCS obtidos desta campanha. É possível comprovar como, entre as diferentes amostras, foram identificados 3 Command and Controls (C&C) diferentes. 

http://lucifer.icejuice.xyz/master/conf/Html.txt

First Submission on VT SHA256
2017-08-22 18:38:34 ab0e78800174f62725411de5425e8322f76f678f2706da595e7e2fe17a6daa91
2017-08-11 04:43:21 98337ca50d0cac2fab4566a39c6149328889bb06a6dd56a4c2a66cbea326138c
2017-08-31 04:34:17 4e5080b3abf246077c87c88ef0030eba23f9b54c78774ff5afb987bcd6797c6a
2017-10-26 04:39:51 1c955b144dba3b47cc87f57ce256fe31a596ae358ad039a9a8761e359d837579
2017-09-21 04:47:23 1d861adba18935ca4fed4af0d0b1afe31000238afca0d300e0e68583039acb23
2017-09-22 16:58:00 2e9d2f0ce97c91e598f6b84f937136c7ca151bdb8dfce56d2f67571637d53134
2017-09-28 04:52:33 e8d965991bcb7f6a48273ba8c133c9b9c0f14247dcce75aaab0c763bd03e0dd4

 

http://fritas.cheddarmcmelt.top/master/conf/Html.txt

First Submission on VT SHA256
2017-09-21 22:09:12 8332c91467f480e47eb1b02a5a2a06b97af309579dbfce35b9578ff259cfcd8d
2017-09-22 22:22:55 d8309bc9317c96f1cf9d9cce9562c8c639556a13b28085bd3d3e0e487190f670
2017-09-25 15:11:32 92ff4d1348acb90876351db4e9ee329a2882bb8478cadd812e5d93351518aae1
2017-09-23 08:35:08 886c6466214496f944abd4de83a01773647184efcc4f385a6c26f1b2dda81636
2017-09-25 15:11:39 a2a6dc9ddfd5f1bbf7134b8ea9a9ec268cefdada109b52272f3fd2d0c3e3a19c
2017-09-25 15:11:40 fb608cf015648a9bdcc34fa6a2cf6fa22c74ed6bdaf3d852c6d401cee83f6413

 

http://linux99.giduid.xyz/master/Controle.php

(Versión más actual del QuasarRAT que coincide
con la estructura mostrada al principio del documento)

First Submission on VT SHA256
2017-08-04 20:55:03 e8847241f72b910a266341e060354e762c88143e5e370bf4e1e6c87445a7bd7d
2017-08-18 11:17:59 b4562318d4a76c0f33ae7def723a438f55c66b9c94e5629694e62eb45b3d87fc
2017-07-20 01:17:16 c704eff77103feaa95ade3fa6b840f081f7333adc9f0c32748400bc9612fb2be
2017-07-15 02:08:00 c7567c3034eb48ca51fcd5a55414fbe8015cdc8824367a669d2cb45404e4bf97
2017-09-03 10:43:06 a6dc1bc8cf227dc7340329c37dc8fb683901a6534b9e8bd6371e2c93842409b5

 

Topics: malware, rat


Notícias relacionadas

Malware para criptomoedas: uma mistura explosiva

read more

Top 3 países de cibercriminosos especializados em fraude online

read more

Cibercriminosos do setor financeiro: compreendendo os "malvados" que estão por trás do teclado

read more