Jump to content

Archived

This topic is now archived and is closed to further replies.

DigRam

Trojans estabelecem proxy para furtar senhas bancárias!

Recommended Posts

Saudações!

Cavalo de Tróia ganha acesso a chave "HKCU",para furtar informações confidenciais. ( Senhas bancárias,paypal,orkut,MSN )
O valor referente "AutoConfigURL",é alterado para direcionar a máquina infectada àquele link,que foi introduzido pelo Trojan.banker ao impor configurações Proxy,em navegadores. Ps: Existem técnicas de invasão que não criam essa chave,mas lançam processos que são alocados em diretórios temporários,e direcionam o vitimado à páginas fake.Nesse caso,podem não utilizar proxy,em seus intentos.

#######
FF - prefs.js..network.proxy.autoconfig_url: "http://www.bilardsho...xas.com.br.txt" ( OTL )

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "AutoConfigURL" = hxxp://www.bilardsho...uxas.com.br.txt ( OTL )

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = hxxp://www.bilardsho...uxas.com.br.txt ( HijackThis )
#######

< C:\Arquivos de programas\Java\jre6\bin\nO2A57i2.phx << Win32/Spy.Bancos.OHD >

|- Reparem que o Trojan veio camuflado como plugin do Java,mas com extensão ".phx".
|- Ps: Não adianta limpar a "AutoConfigURL",pois será reconfigurada pelo malware.
|- Ps: Caso não ocorra a reconfiguração,podemos supor que já houve a remoção do Trojan,preliminarmente.

#######
FF - plugin: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll
FF - plugin: C:\Windows\SysWOW64\npDeployJava1.dll
#######

|- Temos aqui,plugins legítimos e na extensão correta. ( .dll )

< bankers_direcionando_à_páginas_falsas >

|- Leiam este artigo do Einstein,para maiores detalhes. Sendo que aqui,no iMasters Fóruns,temos plenas condições de identificar o problema e implementar correções.

Geralmente essa URL termina com .pac ou .js, porém já encontramos URLs sem extensões.

|- Ps: Nos exemplos aqui tratado,a extensão foi ".txt".

#######
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.atualizar.../sistemasvs.txt
#######

|- Outra ocorrência,aqui encontrada!

adv5Y9Af.jpg

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.cuchet.org/tmp/c.txt

"Em casos de infecção recente descobrimos malware injetando DLLs maliciosas nos navegadores para impedir que o proxy seja removido."
(Einstein)

acgq4c25.jpg

|- De fato! São dlls hijacking,que vêm disfarçadas como originais e injetam endereços na AutoConfigURL com a extensão ".txt". ( c.txt ;...bruxas.com.br.txt ;...sistemasvs.txt)
|- Investiguem as não Microsoft,que vem com extensões network...dll; ...com; nesses casos.
|- Se forem bibliotecas com extensões ".dll",atentem para as que não são da Microsoft.

|- Verifiquem se houve alterações ao Firefox,em sua "keyword.URL".
|- Abra o Firefox e digite na barra de endereço: about:config

Firefox_About.jpg

|- Aperte Enter ao concluir!
|- Na relação que abrir,procure ( "keyword.url" ) ou filtre a busca/procura,digitando keyword.url,no campo "Localizar:".

Firefox_keyword.jpg

|- Ao ser exposta a url indesejada,mude a string para: http://www.google.com.my/search?q=
|- Confirme-a,clicando em Ok.

Frefox_Modificado.jpg

|- Após as alterações,eis a nova string que teremos em "keyword.URL".
|- Para investigar a presença de Dlls hijacking ou exploits,vamos fazer uso da ferramenta "DllHijackAuditor".

|- Baixe: < DllHijackAuditor > ( Windows XP, 2K3, Vista, Windows 7 )
|- Salve-o e/ou descompacte-o para Arquivos de programas ou Program Files.
|- Abra o DHA! ( Para Windows Vista ou 7,dê clique direto e execute-o como administrador. )

< Select Your Application >

|- Busque no computador o arquivo "iexplore.exe". ( Caminho completo! )

< Specify Extension >

|- Além das que estão,por default,insira no campo: htm;html;dll;
|- Configure desta forma,o "DllHijackAuditor",para a aplicação investigada. ( iexplore.exe )

aceLMEdw.jpg

|- Estando tudo conforme as instruções,clique: "Start Audit"
|- Aguarde a conclusão!

adbBqwT0.jpg

|- Caso a ferramenta encontre vulnerabilidades ou Exploits,o botão "Exploit" ficará ativo para que seja acionado.Clique nele e,à seguir,em "Report",que será disponibilizado em HTML e lido pelo seu browser. ( Firefox,IE ou Chrome )
|- Ps: O ideal,é que a ferramenta encontre Exploits e não vulnerabilidade em Dlls,pois não seriam as causadoras das páginas fake ao tentar acessar o Banco.

addDAdx7.jpg

|- No exemplo dado àcima,foi encontrado vulnerabilidade no ficheiro "framedyn.dll" ao aplicativo "OTS.exe".

( ... fica em aberto para novas introduções! )

Share this post


Link to post
Share on other sites

×

Important Information

Ao usar o fórum, você concorda com nossos Terms of Use.