E-mail: Noticias Urgente Sobre Ronaldo Fenómeno

Vamos para mais um post envolvendo malware em e-mail.

Recebi um e-mail supostamente enviada pela empresa Globo, a mensagem era sobre um acidente que o ex-jogador Ronaldo Fenômeno tinha sofrido. Segue abaixo as informações do e-mail e a imagem do mesmo.

Assunto: Noticias Urgente Sobre Ronaldo Fenómeno

Remetente: Noticia@globo.com.br

Ao posicionar o mouse em cima da notícia, é possível visualizar na imagem acima (seta vermelha), o endereço que a pessoa será direcionada ao clicar. Para continuar com a análise, cliquei na notícia.

Depois de clicar na notícia, um arquivo foi baixado para meu computador. Segue abaixo a imagem do arquivo.

Informações sobre o arquivo:

Arquivo: cidente_Ronaldo_2012_54874.MPEG.exe
Tamanho: 331776
MD5: df71cc41b4a3b64c3ca892221f9dfb88
Virus Total: 15 / 41
Sandbox: Comodo

Ao executar o arquivo malicioso, chaves são alteradas/criadas no registro do Windows, são elas:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:/Documents and Settings/%USUARIO%/Definições locais/Application Data/win.dys

O4 – HKCU\..\Run: [SystemWin] “C:\Documents and Settings\%USUARIO%\Definições locais\Application Data\winexe.exe”

Basicamente o que este arquivo faz é configurar um proxy no navegador de Internet, que tem como objetivo atuar nos sites:

(host, “*www.credicard.com.br*”)
(host, “*www.boletocredicard.tpimidia.com*”)
(host, “*www.caixa.gov.br*”)
(host, “*www.caixaeconomica.gov.br*”)
(host, “*www.caixaeconomicafederal.gov.br*”)
(host, “*www.caixaeconomicafederal.com.br*”)
(host, “*www.bradesco.com.br*”)
(host, “*www.bancobradesco.com.br*”)
(host, “*www.shopfacil.com.br*”)
(host, “*www.bradescoprime.com.br*”)
(host, “*www.bradescopj.com.br*”)
(host, “*www.bradescopessoajuridica.com.br*”)
(host, “*www.bradescoprivatebank.com.br*”)
(host, “*securessl.com.br*”)
(host, “*www.banese.com.br*”)
(host, “*www.bnb.gov.br*”)
(host, “*www.hsbc.com.br*”)
(host, “*www.hsbcbank.com.br*”)
(host, “*www.infoseg.gov.br*”)
(host, “*www.brb.com.br*”)
(host, “*portal.brb.com.br*”)
(host, “*www.intouch.unitfour.com.br*”)
(host, “*itau.com.br*”)
(host, “*bancoitau.com.br*”)
(host, “*www.itaupersonnalite.com.br*”)
(host, “*www.itauuniclass.com.br*”)
(host, “*itauuniclass.com.br*”)
(host, “*www.itauprivatebank.com.br*”)
(host, “*www.paypal.com.br*”)
(host, “*www.paypal.com*”)
(host, “*www.cetelem.com.br*”)
(host, “*www.safranet.com.br*”)
(host, “*www.sicredi.com.br*”)
(host, “*www.serasa.com.br*”)
(host, “*www.serasaexperian.com.br*”)
(host, “*www.santander.com.br*”)
(host, “*www.santandernet.com.br*”)
(host, “*www.santanderempresarial.com.br*”)
(host, “*www.banespa.com.br*”)
(host, “*www.bancosantander.com.br*”)
(host, “*www.real.com.br*”)
(host, “*www.bancoreal.com.br*”)
(host, “*www.realsecureweb.com.br*”)

Isso quer dizer que, com o proxy configurado, quando a pessoa entrar em algum site listado acima, o proxy entra em ação e apresenta uma falsa página (muito igual a verdadeira) com o objetivo de roubar as informações.

Até a escrita deste post, mais de 390 pessoas caíram no golpe.

Prestem atenção nos e-mails que vocês recebem pessoal, não saem clicando em tudo e parem de ser curiosos(as).

Share Button

Comentários

comments

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 67 access attempts in the last 7 days.