Malware e a prisão do diretor-geral do Google no Brasil

Nesta semana (26/09/2012) o diretor-geral do Google no Brasil foi detido pela Polícia Federal (link da matéria), como este caso foi notícia em todo país, criminosos se aproveitaram de tal fato para fazer spam onde na mensagem do e-mail existe um link para um malware que configura um proxy malicioso no navegador de Internet.

Segue abaixo a imagem do e-mail:

Ao clicar no endereço presente no e-mail, é feito o download do malware que irá configurar um proxy malicioso no navegador de Internet. Este proxy irá atuar em determinados endereços que o usuário for acessar. Por exemplo: No proxy existe uma verificação de que quando o usuário for acessar www.hotmail.com, automaticamente ele (usuário) será direcionado para um site falso igualzinho ao site verdadeiro, isso é para dificultar a identificação do falso site. Na análise técnica abaixo, são listados os sites que são “monitorados” pelo proxy para fazer o direcionamento para o falso site.

* Arquivo:
Arquivo: reportagem-g1.com
Tamanho: 15872
MD5: a07aaa86c27721478afaf47d0d0174ec

Resultado Scan VirusTotal/Jotti
1 / 41

* Sandbox:
Comodo

*Arquivos/ chaves geradas na infecção:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = h**p://norte.uni.edu.***/wp-content/uploads/images/jquery-min-b.jsp

*Detalhes da infecção:

Configura um proxy no navegador: h**p://norte.uni.edu.**wp-content/uploads/images/jquery-min-b.jsp

* Link do malware no e-mail
h**p://www.grownups55plus.***/img/portalg1.php

* Link do e-mail direciona para o endereço abaixo que faz o download do malware
h**p://yoghurtmedia.co.**/dataapp/reportagem-g1.com

* Endereço do Proxy:
h**p://query.morumbi.us

* Páginas de phishing que são utilizadas pelo malware

Hotmail / MSN / LIVE
h**p://query.morumbi.us/***/login/

Itaú
h**p://query.morumbi.us/**/30horas/

Serasa
h**p://query.morumbi.us/***/serasa/

Santander
h**p://query.morumbi.us/***/sportal/

HSBC
h**p://query.morumbi.us/***/hsbc/

AmericanExpress
h**p://query.morumbi.us/***/amex/

Banese
h**p://query.morumbi.us/***/banese/

Bradesco
h**p://query.morumbi.us/***/internetbanking/

Banco do Brasil
h**p://query.morumbi.us/***/portalbb2/

Caixa
h**p://query.morumbi.us/***/acesso/

Sicredi
h**p://query.morumbi.us/***/sic/

PagSeguro
h**p://query.morumbi.us/***/pagseguro/

Citibank
h**p://query.morumbi.us/***/citi/

GOL
h**p://query.morumbi.us/***/voegol/

Esta análise termina por aqui. Para a segurança dos visitantes do blog, os endereços envolvendo o malware foram “mascarados”.

Share Button

Comentários

comments

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 67 access attempts in the last 7 days.