Vamos para mais uma análise de um falso e-mail.

Recebi recentemente um e-mail supostamente enviado pela Receita Federal.

Assunto: Intimação Eletronica De Debitos

Remetente: ReceitaFederal@hotmail.com

Mensagem: Informa que segue em “anexo” o protocolo de entrega da declaração de imposto de renda do ano de 2011.

Segue a imagem abaixo.

É possível visualizar na imagem acima que o remetente utiliza um e-mail @hotmail.com, mas como assim a Receita Federal utilizando um e-mail do Hotmail? Outro detalhe é o endereço apontado pela seta vermelha, que é um site onde não tem ligação nenhuma com a Receita Federal e é para este endereço que o usuário será direcionado se clicar no suposto protocolo.

Para continuar com a análise, cliquei no suposto protocolo e um arquivo (Intimacao.exe) foi baixado no meu computador. Segue a imagem abaixo.

Depois de executar o arquivo Intimacao.exe os resultados foram os seguintes:

É feito um acesso ao endereço h**p://things.future***die.com/checkinfect.php para verificar se o computador já está infectado ou não.

É feito um acesso ao endereço h**p://www.royalpalm******nity.com/registrado.php?nomepc=NOME_DO_COMPUTADOR&osName=UN&netCard=NUM&ipp=IP para registrar mais uma vítima.

É configurado um endereço proxy no navegador de internet (imagem abaixo) que tem os seguintes alvos:

var bb1 = “bb*”;
var bb2 = “*bancodobrasil*”;
var ban1 = “*banese*”;
var cef1 = “*cef*”;
var cef2 = “*caixa*”;
var desco1 = “*bradesco*”;
var hsbc1 = “*hsbc*”;
var hot1 = “*hotmail*”;
var hot2 = “*live*”;
var santa1 = “*santander*”;
var santa2 = “*real*”;
var santa3 = “*banespa*”;
var sic1 = “*sicredi*”;
var ita1 = “*itau*”;
var bnb1 = “*bnb*”;
var saf1 = “*safra*”;
var banri1 = “*banrisul*”;
var citi1 = “*citibank*”;
var cete1 = “*cetelem*”;
var pag1 = “*pagseguro*”;
var int1 = “*intouch*”;
var info1 = “*infoseg*”;
var ser1 = “*serasa*”;
var am1 = “*american*”;
var pay1 = “*paypal*”;
var ld1 = “*linhadefensiva*”;
var ssl1 = “*securessl*”;

Isso quer dizer que quando a vítima, que estiver com esse proxy configurado tentar acessar algum endereço que “case” com a lista acima, ela será direcionada para um site falso.

Esta análise termina por aqui.

Algumas informações técnicas:

VirusTotal:
7 / 40

MD5:
82b57319b66a43bc4285b969da3f0a66

Tamanho:
31.0 KB ( 31744 bytes )

Arquivo:
Intimacao.exe

Sandbox:
Comodo
Anubis

Se você tiver interesse em obter os endereços/links da análise, segue o arquivo:
82b57319b66a43bc4285b969da3f0a66 (senha: crimelandia)

Share Button

Commentários

comments

 

7 Comments

 

  1. Jul 18, 2012  13:43 by Guilherme Reply

    Caro amigo,fico feliz com a atitude da divulgação,porém antes de pesquiçar eu abri o exe,ou seja depois que o leite derramou!!
    Tenho que formatar o meu note,e a melhor saída?

    • Jul 18, 2012  13:49 by Guilherme Scombatti Reply

      Não é necessário formatar seu note, o pessoal da Linha Defensiva pode ajudar você a fazer uma limpeza em sua máquina gratuitamente. Acesse http://www.linhadefensiva.org/remocao-de-virus/ . Enquanto seu computador estiver infectado pelo proxy malicioso, não acesse os sites que estão listados neste post, isso porque se você acessar será direcionado para um site igualzinho só que falso, a fim de roubar suas informações.

      • Apr 10, 2013  10:26 by Hélène Reply

        Olá Guilherme,
        Você falou de não acessar aos sites que estão listados neste post, e linha defensiva está aqui. Então, é seguro ir là para pedir ajuda?
        Obrigada!
        Hélène

        • Apr 10, 2013  10:50 by Guilherme Scombatti Reply

          Oi Hélène,
          Pode acessar sim, é um site confiável e eu sou membro do grupo ARIS (http://www.linhadefensiva.org/aris-ld/) do Linha Defensiva.
          abraço
          Guilherme

          • Apr 10, 2013  11:10 by Hélène

            obrigada!

  2. Sep 28, 2012  0:10 by Alonso Reply

    Bela analise qie você fez para nos informar sobre os riscos desse email

  3. Apr 10, 2013  10:50 by Guilherme Scombatti Reply

    Oi Hélène,

    Pode acessar sim, é um site confiável e eu sou membro do grupo ARIS (http://www.linhadefensiva.org/aris-ld/) do Linha Defensiva.

    abraço

    Guilherme

Leave a reply

 

Your email address will not be published.


1 + = 9