Os Trojans que chegam através de Phishing Email

Por Professor Yuri Diogenes, Mestre em Cybersecurity (UTICA/EUA)

Introdução

Não é de hoje que venho documentando os diversos casos relacionadas a phishing que tem como alvo principal os usuários brasileiros. Para lhe dar um contexto seguem alguns artigos que escrevi sobre este tema:

Este número crescente foi recentemente documentado no relatório trimestral da Kaspersky que cobre o primeiro trimestre de 2015. Neste relatório é mostrado a geografia do ataque de phishing e o Brasil está em primeiro lugar com 18.28% dos países que mais recebem este tipo de ataque no mundo.

Um dos grandes fatores do sucesso do phishing no Brasil é a falta de informação básica sobre segurança por parte do usuário. A velocidade com que a tecnologia é acessível as pessoas não é a mesma no que tange o fator educacional. Um usuário leigo no tópico “segurança da informação”, é  mais vulnerável a engenharia social, que no fundo é a forma com que o phishing email é visto pelo usuário. Um email de alguém conhecido, ou de algum orgão conhecido, com informações relevantes e muitas vezes importante para ele. Por que não clicar já que fui instruído a clicar? É justamente essa a causa raiz do problema: o usuário sempre será o elo mais fraco na cadeia de segurança.

Arquitetura do Ataque

O ataque do tipo phishing direcionado aos usuários do Brasil geralmente é composto por alguns elementos em comum conforme mostra a figura abaixo:

Fig1

 

Figura 1 – Exemplo de Phishing Email

  1. O assunto do email geralmente traz um RE de resposta, para tentar ludibriar o usuário que este email na realidade é uma resposta para algo que o usuário já enviou anteriormente. O Email geralmente vem de um amigo da lista do usuário, ou de um orgão do Governo ou de uma instituição fincanceira como um banco.
  2. O email traz uma imagem embutida como se fosse um anexo, porém ao clicar neste anexo ele redireciona o usuário para um site malicioso na tentativa de usar o ataque chamado de “drive by download”.
  3. O corpo do email traz uma empatia com o usuário, algo informal e que tente mostrar uma ligação com a pessoa. Isso para os emails que vem de amigos da lista, para emails que vem de uma instituição, o corpo do email contém logomarcas e textos que podem parecer convincente para o usuário caso ele não fique atento aos detalhes.
  4. Um link para um arquivo falso. No exemplo mostrado acima o aquivo é um .ZIP, que é colocado de forma proposital para ludibriar o usuário que devido ao tamanho do arquivo foi necessário compactar. Porém, ao clicar no arquivo o usuário é novamente redirecionado para o site malicioso.
  5. Informações para contato no final fecham o email com intuito de fazer com que o usuário sinta-se seguro com relação ao email, afinal a pessoa mandou até o telefone dela para contato.

Estes são componentes básicos que geralmente são encontrados em emails, mas como mencionei antes, para phishing cujo a origem é a falsificação de um banco, o formato é mais parecido com este que descrevo neste artigo. Com isso podemos concluir que o fluxo final do phishing email é exemplificado no diagrama abaixo:

Figura2

 

Figura 2 – Exemplo de Drive by Download (Fonte: palestra que ministrei no TechEd Brasil 2011)

Note que este é um exemplo, não necessariamente haverá um redirecionador, um servidor com exploit e um servidor de malware. Em alguns casos tudo está localizado no mesmo servidor. No artigo que escrevi no começo deste ano, o servidor comprometido inclusive estava dentro de um orgão governamental em Fortaleza, o qual alertei a pessoa responsável que endereçou o problema, mas infelizmente no endereçamento, a evidência foi esquecida. Motivo pelo qual me fez escrever este outro artigo sobre resposta para incidentes.

Golpe final: a execução do Trojan

Uma vez que o usuário foi enganado e executou os procedimentos que foram sugeridos no phishing email, segue agora a pior parte: a infecção com o trojan. De acordo com o relatório de segurança inteligente (SIR) da Microsoft, o trojan Win32/Banload é um dos mais detectados no Brasil, que por sua vez é da família Win32/Banker. Este trojan tem como principal finalidade o roubo de credenciais de banco. Já existem diversas variantes para este trojan, mas geralmente um dos sinais de infecção é a presença dos arquivos abaixo:

  • %TEMP%drvrnet.exe
  • <system folder>542745.dll

Após baixar estes arquivos (via HTTP ou FTP) o executável é iniciado e a chave HKCUSoftwareMicrosoftWindowsShellNoRoamMUICache é alterada para inclusão do valor %TEMP%drvrnet.exe. Algumas variantes também podem desativar o antivírus e alterar as configurações do Browser.

Um outro trojan que foi apontado no último relatório de segurança da Microsoft como crescente no Brasil foi o PWS:Win32/Mujormel, que também é classificado como um trojan de roubo de informações (inclusive credenciais).

O que fazer?

Antes de mais nada é importante deixar claro que não há um simples “hotfix” para o problema, pois estamos falando em educar uma massa de usuários de dispositivos eletrônicos (tablets, smart phone, PC, etc), porém é preciso começar a plantar esta solução através da educação. Por que bato na tecla da educação? Pois não adianta o investimento massivo em tecnologia se a decisão final de executar ou não algo está nas mãos de um usuário. Quem não lembra do caso da RSA, uma das maiores empresas de segurança do mundo que teve sua defesa explorada através de um phishing email.

O primeiro passo é garantir que todas empresas treinem seus funcionários nos conhecimentos básicos de segurança. É através deste treinamento que o usuário vai aprender a identificar um email falso, saber o que fazer caso isso ocorra, quem notificar, etc. As empresas precisam se concientizar que isso é uma necessidade de sobrevivência, pois é através de um usuário bem treinado com a soma de controles técnicos de segurança que se reduz a probabilidade de uma exploração com sucesso. Note que digo “reduz”, pois não há como garantir nada 100% seguro.

O próximo passo é introduzir segurança da informação na escola, se hoje se ensina informática nas escolas primárias, segurança da informação tem que ser ensinada também. Apenas com uma geração consciente dos perigos existentes e o que fazer para evitar, que iremos ter um futuro mais seguro no âmbito cibernético.

Sobre o Autor

Yuri Diógenes é Mestre em Cybersecurity com concentrações em Cyber Intelligence e Forensics Investigation pela UTICA nos Estados Unidos, MBA pela FGV,  Pós Graduado em Gestão de TI pela UFG. Com mais de 20 anos de experiência na área de TI, Yuri atua como Senior Content Developer do time de Mobilidade Empresarial da Microsoft, Professor do curso de Security+ da Clavis Segurança da Informação e Professor do Mestrado Ciência da Segurança da Informação do EC-Council University nos Estados Unidos. Yuri é membro senior do ISSA (Information Security Association) nos Estados Unidos onde escreve artigos técnicos para o ISSA Journal. Yuri possui as certificações CompTIA Security+, CASP, Network+, Cloud+, Cloud Essentials, Mobiity+, ISC2 CISSP, EC|CEH, EC|CSA, Microsoft MCITP, MCTS, MCSA/MCSE+Security, MCSE+Internet, MCSA/MCSE+Messaging. Siga o Yuri no Twitter @yuridiogenes e acompanhe os artigos em Português no blog http://yuridiogenes.wordpress.com.