E-mail: Intimação Eletronica De Debitos – Receita Federal

Vamos para mais uma análise de um falso e-mail.

Recebi recentemente um e-mail supostamente enviado pela Receita Federal.

Assunto: Intimação Eletronica De Debitos

Remetente: ReceitaFederal@hotmail.com

Mensagem: Informa que segue em "anexo" o protocolo de entrega da declaração de imposto de renda do ano de 2011.

Segue a imagem abaixo.

É possível visualizar na imagem acima que o remetente utiliza um e-mail @hotmail.com, mas como assim a Receita Federal utilizando um e-mail do Hotmail? Outro detalhe é o endereço apontado pela seta vermelha, que é um site onde não tem ligação nenhuma com a Receita Federal e é para este endereço que o usuário será direcionado se clicar no suposto protocolo.

Para continuar com a análise, cliquei no suposto protocolo e um arquivo (Intimacao.exe) foi baixado no meu computador. Segue a imagem abaixo.

Depois de executar o arquivo Intimacao.exe os resultados foram os seguintes:

É feito um acesso ao endereço h**p://things.future***die.com/checkinfect.php para verificar se o computador já está infectado ou não.

É feito um acesso ao endereço h**p://www.royalpalm******nity.com/registrado.php?nomepc=NOME_DO_COMPUTADOR&osName=UN&netCard=NUM&ipp=IP para registrar mais uma vítima.

É configurado um endereço proxy no navegador de internet (imagem abaixo) que tem os seguintes alvos:

var bb1 = "bb*";
var bb2 = "*bancodobrasil*";
var ban1 = "*banese*";
var cef1 = "*cef*";
var cef2 = "*caixa*";
var desco1 = "*bradesco*";
var hsbc1 = "*hsbc*";
var hot1 = "*hotmail*";
var hot2 = "*live*";
var santa1 = "*santander*";
var santa2 = "*real*";
var santa3 = "*banespa*";
var sic1 = "*sicredi*";
var ita1 = "*itau*";
var bnb1 = "*bnb*";
var saf1 = "*safra*";
var banri1 = "*banrisul*";
var citi1 = "*citibank*";
var cete1 = "*cetelem*";
var pag1 = "*pagseguro*";
var int1 = "*intouch*";
var info1 = "*infoseg*";
var ser1 = "*serasa*";
var am1 = "*american*";
var pay1 = "*paypal*";
var ld1 = "*linhadefensiva*";
var ssl1 = "*securessl*";

Isso quer dizer que quando a vítima, que estiver com esse proxy configurado tentar acessar algum endereço que "case" com a lista acima, ela será direcionada para um site falso.

Esta análise termina por aqui.

Algumas informações técnicas:

VirusTotal:
7 / 40

MD5:
82b57319b66a43bc4285b969da3f0a66

Tamanho:
31.0 KB ( 31744 bytes )

Arquivo:
Intimacao.exe

Sandbox:
Comodo
Anubis

Se você tiver interesse em obter os endereços/links da análise, segue o arquivo:
82b57319b66a43bc4285b969da3f0a66 (senha: crimelandia)

Share Button

Commentários

comments

7 Comments
  1. Guilherme
    Jul 18, 2012 -
    Reply

    Caro amigo,fico feliz com a atitude da divulgação,porém antes de pesquiçar eu abri o exe,ou seja depois que o leite derramou!! Tenho que formatar o meu note,e a melhor saída?

    • Guilherme Scombatti
      Jul 18, 2012 -
      Reply

      Não é necessário formatar seu note, o pessoal da Linha Defensiva pode ajudar você a fazer uma limpeza em sua máquina gratuitamente. Acesse http://www.linhadefensiva.org/remocao-de-virus/ . Enquanto seu computador estiver infectado pelo proxy malicioso, não acesse os sites que estão listados neste post, isso porque se você acessar será direcionado para um site igualzinho só que falso, a fim de roubar suas informações.

      • Hélène
        Apr 10, 2013 -
        Reply

        Olá Guilherme, Você falou de não acessar aos sites que estão listados neste post, e linha defensiva está aqui. Então, é seguro ir là para pedir ajuda? Obrigada! Hélène

        • Guilherme Scombatti
          Apr 10, 2013 -
          Reply

          Oi Hélène, Pode acessar sim, é um site confiável e eu sou membro do grupo ARIS (http://www.linhadefensiva.org/aris-ld/) do Linha Defensiva. abraço Guilherme

          • Hélène
            Apr 10, 2013 -

            obrigada!

  2. Alonso
    Sep 28, 2012 -
    Reply

    Bela analise qie você fez para nos informar sobre os riscos desse email

  3. Guilherme Scombatti
    Apr 10, 2013 -
    Reply

    Oi Hélène, Pode acessar sim, é um site confiável e eu sou membro do grupo ARIS (http://www.linhadefensiva.org/aris-ld/) do Linha Defensiva. abraço Guilherme

Leave a Comment


7 − 6 =

Bad Behavior has blocked 377 access attempts in the last 7 days.