Solicitacao de documento e assinatura protocolada.‏

Recebi um falso e-mail em nome do Tribunal Regional do Trabalho em que a mensagem informa sobre documentos de um processo e uma assinatura protocolada. Toda a mensagem do e-mail é uma imagem e ao posicionar o mouse em cima da mesma, é possível identificar o endereço que o usuário será direcionado ao clicar na mensagem. Abaixo os dados do e-mail:

Assunto: Solicitacao de documento e assinatura protocolada.‏

Remetente: qualquer endereço de e-mail

Mensagem:

Sem Título-1

 

Ao clicar na falsa mensagem, um arquivo malicioso será baixado para o computador. Abaixo algumas informações sobre o malware em execução:

Dados do arquivo que é baixado ao clicar na imagem do e-mail:

Nome: Documentos-Solicitados.exe
Tamanho: 298.5 KB
MD5: ab731277d0ff4b2e02795c82b45f01b9
SHA1: 138ada5a71b346cb2a766be8f9baa1b7f6e44589
VirusTotal: 6/56

 

Na imagem abaixo é possível identificar que o malware está com um packer:

Sem Título-2

Identificando o packer como PEcompact, foi feito o unpack e com isso foi revelado em qual linguagem o malware foi desenvolvido, que no caso foi Delphi:

Sem Título-3

 

Analisando o comportamento do malware na rede, foi possível capturar todos os endereços que ele faz requisições. Um dos endereços capturados é possível identificar alguns arquivos:

Lista de máquinas infectadas: listagem de máquinas que estão infectadas. Até o fechamento deste post, somente no dia de hoje, mais de 160 computadores constavam na lista. (imagem abaixo)

Sem Título-4

Arquivo de notificação: provavelmente, via e-mail, notifica o criminoso toda vez que uma nova vítima é cai no golpe. Ao acessar esse arquivo nada aparece na tela.

 

Abaixo algumas informações após a execução do malware:

Chave criada: O4 – HKCU\..\Run: [dfopdjgja] C:\DOCUME~1\%USUARIO%\DEFINI~1\APPLIC~1\sllauncher.exe

Arquivos Criados:

C:\Documents and Settings\%USUARIO%\Definições locais\Application Data\mfastboot.exe

Nome: mfastboot.exe
Tamanho: 2.1 MB
MD5: 5619845fda626dd964c19d3290597ece
SHA1: 7dd7d20649bab11f6d94d66fcdb4cd7012bcd917
VirusTotal: 22 / 57

C:\Documents and Settings\%USUARIO%\Definições locais\Application Data\sllauncher.exe

Nome: sllauncher.exe
Tamanho: 5.2 MB
MD5: 9ed6599957892f88672ddcc0df888641
SHA1: b1854d9172e54cd207b622b5eafb5f5a5c678e10
VirusTotal: 17 / 56

 

Uma porta é aberta no computador da vítima:

Sem Título-5

 

Share Button

Comentários

comments

Tags:,

Add a Comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Bad Behavior has blocked 67 access attempts in the last 7 days.