Caso estranho de invasão que sofri

[Pereira98811]

Olá, senhores.

Sou um publisher man e um pouco ligado ao mundo da tecnologia, programação e segurança da informação. Estou abrindo este post para contar sobre a invasão que sofri nos últimos dias e colher informações de como hipoteticamente os hackers atuaram para fazer o que fizeram e como eu poderia ter evitado essa e outras tentativas de invasões futuras.

Certo dia recebi um email informando que o meu Facebook Manager Ads(minha ferramenta de trabalho) havia sido transferido para um outro usuário com um endereço de email x. Assim, eu havia perdido totalmente o controle da BM, não podendo mais executar anúncios, e o novo usuário poderia utilizar a minha conta de anúncios e os métodos de pagamento cadastrados para criar anúncios indevidos.

 

É importante ressaltar que antes deste ocorrido aconteceu outros 3 casos suspeitos. Algumas semanas antes, ao acessar as configurações do meu perfil do Facebook, notei que havia um email estranho cadastrado nas configurações do meu perfil. Eu estava bem preocupado com outras questões naquele dia, então achei que simplesmente se tratava do Facebook mostrando exemplos de email para explicar do que se tratava uma opção das configurações da conta. Semanas depois, recebi uma notificação no Facebook de que eu havia sido expulso do gerenciamento da página do Facebook que utilizo para anunciar, porém quando fui acessá-la minutos depois, estava tudo ok, então pensei que fosse algum bug do  Facebook. Um dia antes da invasão da minha BM, ao acessar o meu instagram, notei que havia uma postagem de criptomoeda nos stories e que o meu perfil havia começado a seguir +600 pessoas. Obviamente, nada disso foi eu que fiz, então protamente acessei as tentativas de login anteriores e não havia nenhum acesso, senão o meu próprio através do meu pc. Achei essa caso muito estranho, pois geralmente quando se hackeia instagram, eles acessam a conta de um país nada a ver, pois eles conseguiram o acesso à senha da conta. É importante mencionar também que tanto o perfil do Facebook, como a BM, como o instagram estavam com a autenticação em dois fatores ativo, ou seja, mesmo que tivessem a senha, a tentativa de login estaria registrada e eu receberia um SMS no meu celular para liberar o acesso, coisa que não ocorreu. 

 

Ou seja, em todas esses casos que mencionei os hackers fizeram publicações e transferência de propriedade dos perfis para criação de anúncios indevidos através de uma espécie de acesso remoto, sem necessitar fazer login. É como se eles tivessem com o TeamViewer ligado no meu pc. O mais assombroso é que no caso do acesso remoto do TeamViewer eu veria o mouse se movendo e as alterações sendo feitas na minha tela, porém isso não ocorreu. Eu utilizava o Google Chrome. Não sei se eles conseguiam de alguma forma espelharem as guias do meu navegador e fazerem as alterações de forma indireta através do pc deles mesmo. 

 

Ao entender que eu havia sido hackeado, eu contatei o Facebook e o mesmo está finalização a análise do caso. Eu mudei as senhas de todas as plataformas que utilizo através do Mac do meu irmão, pois fiquei recioso em alterar no meu próprio pc e eles também terem acesso a isso.  Antes dessa última invasão da BM, havia utilizado o Firewall do Windows e ele não havia encontrado nada. Comprei o Kaspersky para fazer a análise de malwares e o anti vírus encontrou alguns trojans. Os eliminei e fiquei mais tranquilo. Porém, posterior a isso tudo, ocorreu a invasão da BM e a transferência de propriedade. Ou seja, mesmo o anti vírus pago não conseguiu evitar e detectar que o meu pc estava sendo controlado. Por isso, criei uma partição do meu SDD e transferi meus arquivos importantes e formatei o W10 removendo todos os dados e programas instalados. 

 

Gostaria de entender como foi possível que os hackers fizessem tudo isso e que precauções posso tomar a partir de agora para evitar possíveis tentativas futuras. Como decidi pagar a licença do Kaspersky, quais ferramentas deles posso utilizar para melhorar a minha segurança? O gerenciador de senhas é eficaz? Por quê?

 

Como posso ter certeza de que o Malware não está mais no meu e pc como poderia removê-lo, caso ainda esteja?  

 

Muito grato desde já, senhores.

[Lusitano]

é necessário providenciar os resultados das analises para que possamos verificar:

 

[Pereira98811]

Desculpe. Aqui estão os logs da análise do Kaspersky e do Malwarebytes.

É importante também ressaltar que um dia antes da invasão da BM, recebi a seguinte mensagem no meu gmail:

 

30 de novembro, 15:23

App suspeito detectado

Alguém pode ter acessado sua Conta do Google usando um app suspeito. Sua conta foi desconectada neste dispositivo por motivo de segurança.

Windows

Dispositivo com app suspeito

Logs Kaspersky.txt Logs Malwarebytes.txt

[Pereira98811]

2 horas atrás, Pereira98811 disse:

Desculpe. Aqui estão os logs da análise do Kaspersky e do Malwarebytes.

É importante também ressaltar que um dia antes da invasão da BM, recebi a seguinte mensagem no meu gmail:

 

30 de novembro, 15:23

App suspeito detectado

Alguém pode ter acessado sua Conta do Google usando um app suspeito. Sua conta foi desconectada neste dispositivo por motivo de segurança.

Windows

Dispositivo com app suspeito

Logs Kaspersky.txt 4 kB · 0 downloads Logs Malwarebytes.txt 116 kB · 0 downloads

A Etapa 2 da obtenção de logs(utilizar o Farbar) não será possível, pois como dito, eu já formatei o pc após o ocorrido. No ato da invasão utilizei apenas o Kaspersky e o Malwarebytes para obter os logs. Acredito que já dê uma boa ideia do que seja e se de fato eles foram excluídos do pc com a formatação. Fiz a análise completa após a formatação utilizando os dois programas descritos e os mesmos não encontraram nenhuma ameaça. Porém, como não sei se de fato foram essas ameaças capturadas nos logs que permitiram a invasão, decidi fazer o post para entender como isso pode ter ocorrido e como posso evitar um próximo ataque. Muito grato desde já. 

 

[Lusitano]

15 horas atrás, Pereira98811 disse:

A Etapa 2 da obtenção de logs(utilizar o Farbar) não será possível, pois como dito, eu já formatei o pc após o ocorrido.

Essa ferramenta é a que me daria informação para analisar.

 

Os relatorios do Kaspersky e Malwarebytes são inconclusivos e maioritariamente marcam como sendo malwares genéricos, ou seja, não lhes foi possível concluir com exatidão do que se trata e então marcam como sendo genéricos e as análises também não mostram tudo o que foi alterado.

 

15 horas atrás, Pereira98811 disse:

Acredito que já dê uma boa ideia do que seja e se de fato eles foram excluídos do pc com a formatação.

A ideia é a explicada acima. Sem mais informação eu só poderia especular e isso não traria nada válido nem acrescentaria. Mas, tranquilo. Uma vez que houve formatação e se você não nota mais nada estranho, não há motivos para alarme.

 

15 horas atrás, Pereira98811 disse:

Porém, como não sei se de fato foram essas ameaças capturadas nos logs que permitiram a invasão, decidi fazer o post para entender como isso pode ter ocorrido e como posso evitar um próximo ataque.

Quanto a isso, só com as análises do FRST eu poderia verificar se de fato não restou nada.

Quanto ao evitar o próximo ataque eu já lhe expliquei no outro post que segurança para ser eficaz, ela deve ser feita por diversos fatores.

 

abraço

[Pereira98811]

@LusitanoAgora, depois de formatado, eu posso utilizar a análise do FRST e mandar os logs por aqui para que você dê uma olhada se ainda resta algo? 

[Lusitano]

15 horas atrás, Pereira98811 disse:

Agora, depois de formatado, eu posso utilizar a análise do FRST e mandar os logs por aqui para que você dê uma olhada se ainda resta algo? 

Sim. Os relatórios dessa ferramenta (frst.txt e addition.txt) nos mostrarão o que existe no seu S.O.

 

[Pereira98811]

@Lusitano Aqui estão os logs. Muito obrigado.

AdwCleaner[S04].txt FRST.txt Addition.txt

[Lusitano]

@Pereira98811 Olá, nada nos relatórios mostra sinais de malware.

Existem algumas entradas orfãs e erros que vamos aproveitar para corrigir através do script que lhe envio.

 

Citação

Executando a partir de C:\Users\emers\Downloads

Atenção: Antes de executar a etapa seguinte, é importante que coloque a ferramenta FRST na sua área de trabalho (desktop)!

 

 

Execução FRST:

• Clique direito do mouse no icone do FRST e selecione executar como administrador
• Selecione TODO o conteúdo da caixa abaixo e pressione ao mesmo tempo as teclas Ctrl + C, para que tudo seja copiado. Não é necessário colar a informação. A ferramenta FRST fará isso automaticamente.

Citação

Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe" (Nenhum Arquivo)
FF HKLM\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
FF HKLM-x32\...\Firefox\Extensions: [[email protected]] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\FFExt\light_plugin_firefox\addon.xpi => não encontrado (a)
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Nenhum Arquivo
StartRegedit:
Windows Registry Editor Version 5.00
    
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl]
"AutoReboot"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Update\AU]
"NoAutoUpdate"=-

EndRegedit:

StartBatch:
  pushd\windows\system32
  bcdedit.exe /set {default} recoveryenabled yes
  bcdedit.exe /timeout 4
  bcdedit.exe /enum
  DISM.exe /Online /Cleanup-image /scanhealth
  sfc /scannow
  del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Code Cache\Js\*.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp"
  del /s /q "%userprofile%\AppData\Local\Temp\*.tmp.*"
  del /s /q "%userprofile%\AppData\Local\Temp\*.sys"
  del /s /q "%userprofile%\AppData\Local\Temp\*.dll"
  del /s /q "%userprofile%\AppData\Local\Temp\*.js"
  del /s /q "%userprofile%\AppData\Local\Temp\*.ini"
  del /s /q "%userprofile%\AppData\Local\Temp\*.html"
  del /s /q "%userprofile%\AppData\Roaming\discord\Cache\*.*"
  del /f /q "%userprofile%\AppData\Local\*-gui"
  del /f /q "%userprofile%\AppData\Roaming\*-gui"
Endbatch:

StartBatch:
 SETLOCAL ENABLEEXTENSIONS
 echo userprofile=%USERPROFILE%
 if not defined userprofile echo no userprofile&goto :eof
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.dl*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.ex*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.zi*"
  del /f /q "%userprofile%\AppData\Roaming\Microsoft\*.sy*"
  del /f /q "%userprofile%\AppData\Roaming\{*.*"
  rd /s /q "%userprofile%\AppData\Roaming\discord\Cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\code cache"
  rd /s /q "%userprofile%\AppData\Roaming\discord\gpucache"
 :eof
EndBatch:

StartBatch:
WMIC SERVICE WHERE Name="dcomlaunch" set startmode="auto"
WMIC SERVICE WHERE Name="nsi" set startmode="auto"
WMIC SERVICE WHERE Name="dhcp" set startmode="auto"
WMIC SERVICE WHERE Name="rpcss" set startmode="auto"
WMIC SERVICE WHERE Name="rpceptmapper" set startmode="auto"
WMIC SERVICE WHERE Name="winmgmt" set startmode="auto"
WMIC SERVICE WHERE Name="sdrsvc" set startmode="manual"
WMIC SERVICE WHERE Name="vss" set startmode="manual"
WMIC SERVICE WHERE Name="eventlog" set startmode="auto"
WMIC SERVICE WHERE Name="bfe" set startmode="auto"
WMIC SERVICE WHERE Name="eventsystem" set startmode="auto"
WMIC SERVICE WHERE Name="msiserver" set startmode="manual"
WMIC SERVICE WHERE Name="sstpsvc" set startmode="manual"
WMIC SERVICE WHERE Name="rasman" set startmode="manual"
WMIC SERVICE WHERE Name="trustedinstaller" set startmode="auto"
net start sdrsvc
net start vss
net start rpcss
net start eventsystem
net start winmgmt
net start msiserver
net start bfe
net start trustedinstaller
WMIC SERVICE WHERE Name="windefend" CALL ChangeStartMode "automatic"
WMIC SERVICE WHERE Name="windefend" CALL startservice
WMIC SERVICE WHERE Name="securityhealthservice" CALL ChangeStartMode "manual"
WMIC SERVICE WHERE Name="securityhealthservice" CALL startservice
net start windefend
net start mpssvc
net start mpsdrv
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
"%WINDIR%\SYSTEM32\lodctr.exe" /R
"%WINDIR%\SysWOW64\lodctr.exe" /R
NETSH winsock reset catalog
NETSH int ipv4 reset reset.log
NETSH int ipv6 reset reset.log
ipconfig /release
ipconfig /renew
ipconfig /flushdns
ipconfig /registerdns
bitsadmin /list /allusers
bitsadmin /reset /allusers
Winmgmt /salvagerepository
Winmgmt /resetrepository
Winmgmt /resyncperf
Endbatch:
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\system32\drivers\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
C:\Windows\Temp\*.*
C:\WINDOWS\system32\*.tmp
C:\WINDOWS\syswow64\*.tmp
cmd: del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\bravesoftware\brave-browser\User Data\Default\Cache\*.*"
cmd: del /s /q "%userprofile%\APPDATA\LOCAL\MICROSOFT\WINDOWS\INETCACHE\IE\*.*"
cmd: del /s /q "%userprofile%\AppData\Local\Temp\*.exe"
EmptyTemp:
Reboot:
End::

• Clique em Corrigir.
• Quando a ferramenta terminar, irá gerar um arquivo com o nome Fixlog.txt. Anexe na sua próxima resposta.
• Nota: Um dos comandos acima, irá remover cookies e com isso pode resultar em dificuldades em aceder a algumas páginas web (nomeadamente bancos) e poderá ser necessário reaplicar o código verificação da própria instituição. Os procedimentos acima poderão ser demorados. Por gentileza seja paciente e aguarde. Serão removidos os arquivos temporários.

 

 

 

 

[Pereira98811]

@Lusitano Aqui está. 

À propósito, de que se tratava essas correções? 

Tendo em vista que este programa não encontrou nenhum Malware, pode-se afirmar com um bom grau de confiança de que a infecção passada foi retirada com a formatação, certo? 

Fixlog.txt

[Lusitano]

1 hora atrás, Pereira98811 disse:

À propósito, de que se tratava essas correções? 

Basicamente limpámos entradas orfãs, corrigimos arquivos do sistema que estavam corrompidos e otimizamos um pouco com limpeza.

 

1 hora atrás, Pereira98811 disse:

pode-se afirmar com um bom grau de confiança de que a infecção passada foi retirada com a formatação, certo? 

Sim. Nada indica infeção e você não nota também nada estranho, e por isso há um elevado grau de certeza para que esta máquina esteja segura.

 

Abraço

[Pereira98811]

@Lusitano Muito obrigado pela assistência. O trabalho que vocês fazem aqui no fórum é excelente e muito honroso. Deus abençoe. 

[Lusitano]

Problema resolvido!

 

Caso o autor necessite, o mesmo será reaberto, para isso deverá entrar em contato com um Analista de Segurança ou Coordenador solicitando o desbloqueio.