O falso vale-presente do Submarino

Com o final do ano chegando, nada melhor do que ganhar um vale-presente no valor de R$ 1.000,00 (Um mil reais) para ser gasto em um grande site brasileiro de compras online, o Submarino.

Este é o objetivo deste e-mail malicioso, informar que você é um dos ganhadores do vale-presente no valor de R$ 1.000,00 (Um mil reais) e para fazer o resgate você deve acessar um link e informar o código. Segue abaixo a imagem do e-mail falso:

Observem na imagem acima que ao posicionar o mouse em cima do suposto “código” do vale-presente ou do link “Resgate do vale-presente”, o usuário será direcionado para um endereço (apontado pela seta vermelha) que não levanta nenhuma suspeita, um endereço aparentemente “normal”.

Ao clicar no suposto “código” do vale-presente ou no link “Resgate do vale-presente”, um arquivo malicioso é baixado para o computador e quando executado, um proxy malicioso é configurado no navegador de internet do usuário.

Este proxy malicioso tem o objetivo de ficar “monitorando” os sites que o usuário acessa, para quando um dos sites que for acessado estiver na lista de sites do proxy, o usuário ser redirecionado para um site falso que é muito bem feito para não levantar nenhuma suspeita. Exemplo: Vamos supor que um dos sites monitorados pelo proxy é o do banco Bradesco, então no arquivo proxy existe algo do tipo:

var brad = "*bradesco*";
if (shExpMatch(host, brad)) {
return pbrad;
}

Isso quer dizer mais ou menos o seguinte: Se o host (endereço digitado pelo usuário) tiver alguma palavra *bradesco*, redirecionar para o “pbrad”, ou seja, se o usuário tentar acessar www.bradesco.com.br ele será redirecionado para um site falso do banco Bradesco determinado pelo proxy malicioso.

Segue abaixo uma análise técnica do malware:

* Arquivo:
Arquivo: Vale-Presente.exe
Tamanho: 34816
MD5: 72e5d91a65fc6bd4e6399bc82896d9ee

Resultado Scan VirusTotal/Jotti
6 / 43

* Sandbox:
Comodo

* Análise das Strings de Memória:
Strings para montar o arquivo de proxy.

*Arquivos/ chaves geradas na infecção:

R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Documents and Settings\%USER%\Definições locais\Temp\tfile.jsp

*Detalhes da infecção:
Configura um proxy no navegador.

Faz acesso ao endereço h**p://nemesis-experts.***/ip.php provavelmente para fazer o registro de mais uma vítima.

Faz acesso ao endereço h**p://battlefc.***/check.php provavelmente para checar alguma coisa.

* Fontes/ Links para serem reportados:

* Link informado
h**p://www.mercadopagobrasileiro.***

* Direcionamento para
h**p://vale-presente.user32.**/home/caixa/Vale-Presente.exe

* Outro(s)
h**p://nemesis-experts.***/ip.php
h**p://battlefc.***/check.php

* Proxy
PROXY telahot.tu***cology.***
PROXY a.tu***cology.***
PROXY b.tu***cology.***
PROXY leg.tu***cology.***
PROXY d.tu***cology.***
PROXY e.tu***cology.***
PROXY leg.tu***cology.***
PROXY g.tu***cology.***
PROXY leg.tu***cology.***
PROXY leg.tu***cology.***
PROXY leg.tu***cology.***
PROXY k.tu***cology.***
PROXY l.tu***cology.***
PROXY m.tu***cology.***
PROXY leg.tu***cology.***
PROXY leg.tu***cology.***
PROXY p.tu***cology.***
PROXY q.tu***cology.***

* Phishing

Caixa
h**p://vale-presente.user32.***/home/caixa/

Banese
h**p://141.0.***.156/home/banese/netbanking/

Caixa
h**p://141.0.***.156/home/caixa/

Bradesco
h**p://108.170.**.60/home/bradesco/

HSBC
h**p://108.***.40.60/home/HSBC/

Hotmail
h**p://199.180.***.244/br/

Sicredi
h**p://141.0.**.156/home/sicredi/

Itaú
h*p://141.0.***.156/home/30horas/

Citibank
h**p://108.170.***.60/home/citibank/

Serasa
h**p://141.0.***.156/home/serasa/

Paypal
h**p://141.0.***.156/home/paypal/

—— Fim da análise ——

Cuidado pessoal, “quando a esmola é grande, o santo desconfia”.

Share Button

Comentários

comments

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 67 access attempts in the last 7 days.