E-mail: COMPROVANTE DE SITUAÇÃO CADASTRAL NO CPF/CNPJ – Ministério da Fazenda

Vamos para mais uma análise.

Recebi em minha caixa de entrada um e-mail supostamente enviado pelo “Ministério da Fazenda”.

Remetente: Ministerio da Fazenda – Secretaria da Receita Federal do Brasil <comunicado@receita.fazenda.gov.br>

Assunto: COMPROVANTE DE SITUAÇÃO CADASTRAL NO CPF/CNPJ

Mensagem: Informava que o comprovante de situação cadastral no cpf/cnpj estava em “anexo”.

Segue abaixo a imagem do e-mail:

Ao posicionar o mouse acima do suposto anexo “COMPROVANTE_B391.9417.97EF.208D”, é possível visualizar na imagem acima, que existe um link para um endereço que não tem nada haver com o verdadeiro endereço do Ministério da Fazenda (http://www.fazenda.gov.br/).

Para continuar com a análise, clique no suposto anexo e um arquivo com o nome de “COMPROVANTE_B391-9417-97EF-208D.com” foi baixado para minha máquina. Segue abaixo a imagem:

Ao executar este arquivo, um endereço proxy é configurado no navegador. Segue abaixo a imagem:

Este proxy tem como objetivo redirecionar o usuário para sites falsos. Os endereços alvos são:

*.santander.*.br
*.banese.*.br
banese.*.br
*.bancosafra.*.br
bancosafra.*.br
*.brb.*.br
brb.*.br
*.hotmail.*.br
hotmail.*.br
*.hotmail.*
hotmail.*
*.hsbc.*.br
hsbc.*.br
santander.*.br
santanderempresarial.*.br
*.santanderempresarial.*.br
*.bb.*.br
bb.*.br
*.caixa.*.br
caixa.*.br
*.bradesco.*.br
bradesco.*.br
*.basa.*.br
basa.*.br
*.itau.*.br
itau.*.br
*.citibank.*.br
citibank.*.br
*.bancoamazonia.*.br
bancoamazonia.*.br
*.cef.*.br
*.sicredi.*.br
sicredi.*.br
*.serasa.*.br
serasa.*.br
*.americanexpress.*
americanexpress.*

Essa lista de sites indica que quando o usuário, que estiver com esse proxy configurado, for fazr o acesso à algum endereço que “case” com essa lista acima, ele será direcionado para um site falso da empresa que  está tentando acessar.

Até esta análise, mais de 1800 vítimas foram feitas. Segue abaixo a imagem:

Esta análise termina por aqui.

Algumas informações técnicas:

VirusTotal:
18 / 42

MD5:
f5d2e298848153a62f6dec06696182f7

Tamanho:
17.0 KB ( 17408 bytes )

Arquivo:
COMPROVANTE_B391-9417-97EF-208D.com

Sandbox:
Comodo

Se você tiver interesse em obter os endereços/links da análise, segue o arquivo:
f5d2e298848153a62f6dec06696182f7 (senha: crimelandia)

Share Button

Comentários

comments

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 67 access attempts in the last 7 days.