Durante a análise de um exploit, esta semana, eu tive a minha máquina de teste controlada remotamente por um criminoso, que interrompeu o processo de análise e conversou comigo, em inglês, utilizando uma janela do bloco de notas. A página maliciosa visitada intencionalmente executou um código malicioso no meu sistema, o qual instalou uma ferramenta de administração remota, que chamamos de RAT — Remote Admin Tool, ou Ferramenta de Administração Remota –, permitindo que o invasor tivesse acesso e controle a todos os meus arquivos. O código malicioso foi executado automaticamente, explorando falhas em componentes do navegador, sem que eu precisasse clicar em nada. Bastou apenas visitar o site.

Após realizar a infecção, executei uma ferramenta de análise que gerou um relatório em um bloco de notas. O conteúdo que apareceu na janela, no entanto, foi muito diferente do esperado. O “texto” continha uma mensagem perguntando quem eu era e avisando que seria difícil “escaneá-lo” (jargão para análise de um sistema). Ainda sem saber que estava sendo vigiada, eu pensei que o virus havia bloqueado a execução da ferramenta e havia inserido aquele texto através de algum código malicioso automatizado que estava em execução. Fechei o bloco de notas e como o sistema me perguntou se eu queria salvar as alterações, eu pensei que o relatório original da ferramenta poderia ter sido preservado, então fechei o bloco de notas sem salvar as alterações e o abri em seguida.

De fato, o conteúdo que esperado estava lá, então comecei a ler o relatório. Durante a leitura, o texto do bloco de notas começou a ser alterado, novas letras foram surgindo, formando uma frase. Desta vez, a mensagem avisava que “ele” não estava ali para infectar pessoas como eu, e sim para propósitos “educativos”. Em seguida, todo o conteúdo do bloco de notas foi apagado e eu vi uma nova frase sendo escrita, dizendo que era a minha vez de digitar. Eu perguntei quem estava ali, e assim foi iniciada uma conversação através do Bloco de Notas do Windows.

O criminoso estava vendo minha tela e digitando na mesma janela que eu, vendo cada movimento.

O invasor perguntou várias vezes para quem eu trabalhava. Por razões relacionadas à minha segurança pessoal, eu não quis dizer a verdade, então eu menti que eu criava cracks para jogos, para que ele pensasse que eu fazia o mesmo que ele. Porém ele não acreditou. Ele tinha acesso total às minhas pastas e arquivos, viu as minhas ferramentas de análise, sabia que o sistema acessado estava em uma máquina virtual, usada como laboratório de testes, e também sabia meu nome. Perguntou-me quem usava tudo aquilo e para quê. Eu disse que precisava testar os meus aplicativos, mas ele novamente não acreditou. Ele disse que me viu acessando determinada URL maliciosa, afirmou que eu queria infectar a máquina virtual e insistiu em saber para quem eu trabalhava, se era para a polícia ou para companhias antivirus. Eu propus uma troca de informações: eu diria para quem eu trabalhava e ele me diria como ele controlava o exploit e o que ele fazia após obter acesso às máquinas que infectava. Ele fingiu aceitar, e me disse que fazia aquilo apenas com propósitos educativos.

A minha desvantagem era óbvia. Ele tinha acesso total ao meu sistema, e pelos meus arquivos e programas instalados, traçou o meu perfil, tinha noção de quem eu era. Pelo meu lado, o que eu sabia sobre ele? Nada. Tentei abrir um programa para monitorar o tráfego da rede, mas ele fechou a janela assim que abri, e ainda me perguntou por que eu queria rastreá-lo, dizendo que poderia me dar vários IPs de canais IRC para eu me distrair.

O que me restou foi “acreditar” na versão dele, e para que ele não me visse como uma possível ameaça (pelo menos até eu reiniciar o modem), eu disse a ele que eu não fazia análise de vírus (o que implicaria em denunciar os dados coletados para órgãos públicos e autoridades da internet). Afirmei que eu apenas participava de fóruns pela web, ajudando pessoas a desinfectarem suas máquinas, sem dizer qual é o fórum.

Após isso, o criminoso me convidou a continuarmos a conversa através de um canal mais seguro, sugerindo o IRC, e falei que nada me garantia que ele não fosse roubar minhas senhas, se tivesse oportunidade para isso. Ao que ele me respondeu dizendo que ele não tinha nada contra mim, dando a entender que o trabalho que eu fazia não o afetava.

Finalizamos a conversa e ele me disse que iria desinstalar o programa malicioso do meu sistema, mas eu não lhe dei oportunidade para isso. Eu fechei a máquina virtual e posteriormente coletei os dados e IPs restantes na máquina-laboratório. Os dados foram enviados a órgãos de combate ao crime virtual.

O sistema operacional da máquina virtual usada na análise foi o Windows XP Service Pack 2 com o Internet Explorer 6, sem atualizações e sem antivirus; precisa ser assim para maximizar o potencial dos criminosos, considerando que a ideia da máquina-laboratório é ser infectada para analisar os golpes. O único programa de proteção ativo era o firewall do XP.

Foi uma experiência surreal e interessante, mas totalmente inesperada. Criminosos virtuais têm tantas vítimas. Quem diria que ele iria olhar justamente o meu computador?