Forum Ex0du$

Já faz alguns dias que eu recebi um e-mail que um nobre leitor me falando sobre um fórum na deep web, ele me mandou o link e solicitou ajuda para entrar nele alegando que poderia ser algo similar ao famoso fórum DarkCode.

Respondi o leitor dizendo que iria verificar o fórum mas que fóruns da deep web não eram meu foco, uma vez que sua grande maioria tem conteúdo muito fraco e a grande maioria dos fóruns de crime virtual estão mesmo na surface.

Depois de fazer acesso ao fórum, percebi que ele é divido em três partes, uma parte com download de malware, uma parte com o fórum propriamente dito, com poucas postagens e apenas alguns membros e outra parte com uma loja, que particularmente não tive muito interesse em entrar, a parte do fórum é fraca, a única coisa interessante que vi foi um membro falando que estava vendendo um 0Day do Office da Microsoft, com certeza é mentira, se eu tivesse um 0Day não estaria tentando vende-lo no submundo da internet em um fórum novo com poucos membros ainda. Mas a parte de malware é bem interessante.

A parte de Botnet e Stealers (não sei porque o dono do site coloquei isso de forma separada, na minha opinião botnet e stealers são a mesma coisa) é interessante, maioria das botnets eu já conheço e já até fiz algumas postagens aqui no site sobre algumas delas, a parte que achei realmente interessante foram as de download de Ramsonware e RAT.

RAT é uma ferramenta bem interessante, usada principalmente para espionar usuários que gostam de fazer download de arquivos executáveis sem ter o devido cuidado em saber a origem deles, mas o ponto fundamental é que é muito difícil achar um RAT que não tenha sido modificado para que quando você execute não se torne uma vítima também. Fiz o teste com dois que estão no site, o Babylon e o njRAT.

Testei ambos com o “Process Explorer” ligado para verificar se após executa-los eles não iriam fazer conexão reversa e tornar meu computador mais um zumbi e pelo que percebi ambos estão limpos, são RATs puros e prontos para serem usados sem medo de infecção.

Um RAT funciona de forma simples, ele é simplesmente um server que fica esperando conexão de suas vítimas, essa conexão é feita quando criamos o “Builder”, que nada mais é que o malware que vai fazer com que a vítima se conecta ao nosso RAT, muitos criminosos usam serviços como o “No-IP” para criar uma URL que leva para o seu computador, permitindo assim que quando seu IP mudar (quando desligamos nosso modem residêncial, muitas vezes nosso IP muda, e por isso é interessante ter um serviço de No-IP configurado na vítima) a vítima continue se conectado com seu RAT.

Na configuração acima, seria onde colocamos o nosso IP ou DNS e a porta, que vai ser onde a vítima vai tentar se conectar depois de ter sido infectado com o malware criado pelo RAT.

Também podemos criar um ícone para o malware, como algo relacionado com jogo ou qualquer coisa do tipo, também é possível ativar o “Anti-VM”, isso é muito útil, pois muitas pessoas que fazem testes com malware, como eu por exemplo, fazem uso de máquinas virtuais, ativando essa opção, o malware não se executaria quando percebesse que está rodando dentro de uma máquina virtual. Depois de tudo configurado basta clicar em “Build”.

Acima está a verificação que fiz com o Process Explorer, para validar que ele não fica tentando se conectar com um IP ou URL externa, e pelo que comprovei, o RAT é seguro e sem armadilhas configuradas internamente.

Uma vez infectado, as vítimas vão aparecendo em forma de lista no painel do RAT, para verificar as opções basta clicar com o botão direito do mouse.

É possível abrir a webcam, fazer um remote desktop e ligar o keylogger.

Iniciar ataques de DOS também está na listagem do que é possível fazer, assim como instalar outros malwares ou remover o malware.

Fiz o mesmo teste com o njRAT, a sua configuração é praticamente igual.

Assim que ele é iniciado, ele já pergunta a porta que ele deve escutar para que as vítimas se conectem com ele.

Acima temos as configuração do Builder (malware) para fazer a conexão reversa com nosso RAT, podemos selecionar até o diretório onde o malware vai ficar.

Depois que a vítima executa o malware, ele vai aparecendo no painel do RAT, para verificar as opções, precisa apenas clicar em cima a vítima com o botão direito.

É possível inserir, modificar ou deletar pastas, chaves de registros, também podemos abrir um remote desktop e verificar em tempo real tudo que a vítima está fazendo.

Também temos a opção de capturar tudo que é digitado no teclado.

Uma coisa interessante que vi nesse RAT é a pasta “nj_users”, essa pasta tem todos os usuários, ou melhor, vítimas do antigo dono desse RAT.

Ao todo foram 36 vítimas que esse criminoso teve, as datas são de 2016 e muitos dos arquivos tem arquivos com passwords, que devem ter sido capturas com o keylogger.

Um RAT é uma ferramenta muito popular e é possível ver vários vídeos no Youtube de criminosos invadindo a privacidade das pessoas.

Também testei um Ransomware, seu uso é bem simples, você praticamente insere a sua carteira Bitcoin, a quantidade de quer receber e seleciona o tipo de arquivos que quer encriptar, reparem que não existe a opção de colocar uma senha para descriptografar o arquivo, ou seja, o objetivo é unicamente causar danos para a vítima.

Gostaria de agradecer ao amigo Bruno que me mandou o e-mail com essa dica sobre o fórum.