Este e-mail nada mais é que uma tentativa de phishing, ou seja, tentar capturar seus dados, isto se você fizer o download do arquivo.

Observe a imagem abaixo que retrata o e-mail:

Veja que o link esconde a url verdadeira que foi encurtada na tentativa de enganar a quem receber este email.

A url verdadeira é:
hxxp://bit.ly/f07AVb?fotos-Fernanda-Flores.JPG

Atenção esta url te leva a um download de malware, portanto não cliquem caso receba este e-mail.

Ao baixar o arquivo ele irá inserir um proxy no seu arquivo HOST com intuito de capturar suas transações bancarias e todo e qualquer tipo de senha.

Veja abaixo a alteração causada pelo malware:
# Copyright (c) 1993-1999 Microsoft Corp.<br /> #<br /> # Este � um arquivo HOSTS de exemplo usado pelo Microsoft TCP/IP para Windows.<br /> # Este arquivo cont�m os mapeamentos de endere�os IP para nomes de host. Cada<br /> # entrada deve ser mantida em uma linha individual. O endere�o IP deve<br /> # ser colocado na primeira coluna, seguido do nome de host correspondente.<br /> # O endere�o IP e o nome do host devem ser separados por pelo menos um<br /> # espa�o.<br /> # Adicionalmente, coment�rios (como estes) podem ser inseridos em linhas<br /> # individuais ou ap�s o nome de computador indicado por um s�mbolo ‘#’.<br /> # Por exemplo:<br /> # 102.54.94.97 rino.acme.com # servidor de origem<br /> # 38.25.63.10 x.acme.com # host cliente x<br /> ECHO is on.<br /> 127.0.0.1 localhost<br /> 41.220.115.205 www.hotmail.com<br /> 41.220.115.205 hotmail.com<br /> 41.220.115.205 msn.com<br /> 41.220.115.205 www.msn.com<br /> 41.220.115.205 live.com<br /> 41.220.115.205 www.live.com<br /> 41.220.115.205 www4.itau.com.br 41.220.115.205 itau.com.br 41.220.115.205 www.itau.com.br 41.220.115.205 www.bancoitau.com.br 41.220.115.205 bancoitau.com.br 41.220.115.205 www.itaupersonnalite.com.br 41.220.115.205 itaupersonnalite.com.br 41.220.115.205 bradesco.com.br 41.220.115.205 www.bradesco.com.br 41.220.115.205 www4.bradesco.com.br 41.220.115.205 www.prime.com.br 41.220.115.205 prime.com.br 41.220.115.205 www.bradescoprime.com.br 41.220.115.205 bradescoprime.com.br 41.220.115.205 bb.com.br 41.220.115.205 www.bb.com.br 41.220.115.205 www.bancodobrasil.com.br 41.220.115.205 bancodobrasil.com.br 41.220.115.205 www.serasa.com.br 41.220.115.205 serasa.com.br 41.220.115.205 www.santander.com.br 41.220.115.205 www4.santander.com.br 41.220.115.205 santander.com.br 41.220.115.205 www.santandernet.com.br 41.220.115.205 santandernet.com.br 41.220.115.205 www.banrisul.com.br 41.220.115.205 www4.banrisul.com.br 41.220.115.205 banrisul.com.br 41.220.115.205 www2.americanexpress.com.br 41.220.115.205 www.americanexpress.com.br 41.220.115.205 americanexpress.com.br 41.220.115.205 www.americanexpress.com 41.220.115.205 americanexpress.com 41.220.115.205 www.banespa.com.br 41.220.115.205 www.cef.com.br 41.220.115.205 cef.com.br 41.220.115.205 www.caixa.gov.br 41.220.115.205 caixa.gov.br 41.220.115.205 www.caixa.com.br 41.220.115.205 caixa.com.br 41.220.115.205 www.caixaeconomica.com.br 41.220.115.205 caixaeconomica.com.br 41.220.115.205 www.caixaeconomica.gov.br 41.220.115.205 caixaeconomica.gov.br 41.220.115.205 www.caixaeconomicafederal.com.br 41.220.115.205 caixaeconomicafederal.com.br 41.220.115.205 www.caixaeconomicafederal.gov.br 41.220.115.205 caixaeconomicafederal.gov.br 41.220.115.205 www.bancoreal.com.br 41.220.115.205 bancoreal.com.br 41.220.115.205 www.real.com.br 41.220.115.205 real.com.br $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ $$$$$$$$$LucAs_Over$$$$$$$$$$$$

O banker autor desta tentativa de phishing ainda teve a desfatez de inserir seu nome no final do arquivo Host.

Bom vou encerrando por aqui este Quickpost.

Uma nova tentativa de phishing via e-mail chegou até mim hoje, e como “fuçador” que sou fui logo baixando o malware para análise.

O e-mail que tenta se passar por um comunicado de uma instituição financeira, e no corpo da mensagem é dito ao usuário que é a última chance dele de atualizar seu iToken, na verdade não passa de uma tentativa de se obter dados sigilosos. E o usuário que estiver desatento e acabar baixando e executando o arquivo citado no link contido no e-mail, terá dores de cabeça.

O e-mail vem com o titulo (ÚLTIMO AVISO) Atenção Cliente, e tenta prega a idéia de que a versão atual do iToken contém uma falha critica e para reparar essa falha ele tem que baixar esta correção. No entanto não passa de um falso e-mail portanto caso recebam algum e-mail com o mesmo título não clique em link algum e exclua o e-mail.

Análise do Malware

Ao executar o arquivo iTokenv1.2.exe é criado um outro arquivo e alterado algumas configurações de Proxy.

Arquivo criado:

%System%\update.exe

Este arquivo por sua vez faz todo trabalho, ele capta todos os dados e em seguida faz conexão via HTTP com dois sites com intuito de enviar as informações coletadas.

O arquivo update.exe depois de estabelecer a conexão envia informações sobre seu computador e os dados que coletou  e transforma seu  PC em um caixa rápido, conforme mostra o código abaixo:

00000000 | 656D 6169 6C3D 6573 7175 6569 726F 6269 | email=esqueirobi<br /> 00000010 | 6325 3235 3235 3430 686F 746D 6169 6C25 | c%252540hotmail%<br /> 00000020 | 3235 3235 3245 636F 6D26 6672 6F6D 3D61 | 25252Ecom&from=a<br /> 00000030 | 6161 2532 3532 3534 3064 7664 2532 3532 | aa%252540dvd%252<br /> 00000040 | 3532 4563 6F6D 2673 7562 6A65 6374 3D43 | 52Ecom&subject=C<br /> 00000050 | 4F4D 5055 5445 524E 414D 4526 6D65 7373 | OMPUTERNAME&mess<br /> 00000060 | 6167 653D 2665 6D61 696C 3D73 696E 616C | age=&email=sinal<br /> 00000070 | 6465 7365 7269 6561 4068 6F74 6D61 696C | deseriea@hotmail<br /> 00000080 | 2E63 6F6D 2666 726F 6D3D 6161 6140 6476 | .com&from=aaa@dv<br /> 00000090 | 642E 636F 6D26 7375 626A 6563 743D 434F | d.com&subject=CO<br /> 000000A0 | 4D50 5554 4552 4E41 4D45 266D 6573 7361 | MPUTERNAME&messa<br /> 000000B0 | 6765 3D26 656D 6169 6C3D 6573 7175 6569 | ge=&email=esquei<br /> 000000C0 | 726F 6269 6325 3235 3235 3430 686F 746D | robic%252540hotm<br /> 000000D0 | 6169 6C25 3235 3235 3245 636F 6D26 6672 | ail%25252Ecom&fr<br /> 000000E0 | 6F6D 3D61 6161 2532 3532 3534 3064 7664 | om=aaa%252540dvd<br /> 000000F0 | 2532 3532 3532 4563 6F6D 2673 7562 6A65 | %25252Ecom&subje<br /> 00000100 | 6374 3D43 4F4D 5055 5445 524E 414D 4526 | ct=COMPUTERNAME&<br /> 00000110 | 6D65 7373 6167 653D 2665 6D61 696C 3D73 | message=&email=s<br /> 00000120 | 696E 616C 6465 7365 7269 6561 4068 6F74 | inaldeseriea@hot<br /> 00000130 | 6D61 696C 2E63 6F6D 2666 726F 6D3D 6161 | mail.com&from=aa<br /> 00000140 | 6140 6476 642E 636F 6D26 7375 626A 6563 | <span class="mh-email"><a href='http://www.google.com/recaptcha/mailhide/d?k=01nyS1h8dh89LOxCOWixkkQQ==&c=65_zevJnu5Gy7GfWTzwFdQ==' onclick="window.open('http://www.google.com/recaptcha/mailhide/d?k=01nyS1h8dh89LOxCOWixkkQQ==&c=65_zevJnu5Gy7GfWTzwFdQ==', '', 'toolbar=0,scrollbars=0,location=0,statusbar=0,menubar=0,resizable=0,width=500,height=300'); return false;" title="Clique aqui e revele o e-mail">...</a></span>&subjec<br /> 00000150 | 743D 434F 4D50 5554 4552 4E41 4D45 266D | t=COMPUTERNAME&m<br /> 00000160 | 6573 7361 6765 3D26 | essage=&<br /> 00000010 | 6325 3430 686F 746D 6169 6C25 3245 636F | c%40hotmail%2Eco<br /> 00000020 | 6D26 6672 6F6D 3D61 6161 2534 3064 7664 | m&from=aaa%40dvd<br /> 00000030 | 2532 4563 6F6D 2673 7562 6A65 6374 3D43 | %2Ecom&subject=C<br /> 00000040 | 4F4D 5055 5445 524E 414D 4526 6D65 7373 | OMPUTERNAME&mess<br /> 00000050 | 6167 653D 2665 6D61 696C 3D65 7371 7565 | age=&email=esque<br /> 00000060 | 6972 6F62 6963 2534 3068 6F74 6D61 696C | irobic%40hotmail<br /> 00000070 | 2532 4563 6F6D 2666 726F 6D3D 6161 6125 | %2Ecom&from=aaa%<br /> 00000080 | 3430 6476 6425 3245 636F 6D26 7375 626A | 40dvd%2Ecom&subj<br /> =&

Apesar do título ser inofensivo seu conteúdo é bastante ofensivo ao sistema operacional. O e-mail traz no título os dizeres “Te Amo…..“  e em seu corpo um texto romântico para fazer o leitor acreditar que se trata realmente de uma declaração. Se trata de uma tentativa de phishing na qual o atacante configura um proxy no pc da vitima com intuito de obter silenciosamente dados sigilosos

Este e-mail contém link para download de malware.

Veja abaixo detalhes sobre este e-mail:

O remetente é: ...

O verdadeiro link é: hxxp://www.videomais.net/Cartinha007.com  ← O link leva para o download de executável malicioso.

O executável é um cavalo de tróia que altera varias configurações do sistema operacional.

Ao executar o arquivo Cartinha007.com é criado o(s) seguinte(s) arquivo(s):

Submeti o executável para análise no site www.threatexpert.com onde foi gerado um report

Portanto se você receber este e-mail exclua-o imediatamente.

Caso você queira colaborar para identificação de novas tentativas de phishing encaminhe o e-mail do qual você suspeita para blog...@globomail.com

De acordo com o site TheRegister mensagens de spam são enviadas aos usuários anunciando uma nova extensão do navegador, destinada a auxiliar na organização de documentos recebidos por e-mail.

As vitimas em potencial são então direcionadas a uma página falsa do Google Chrome Extension que oferece um malware executável no lugar da verdadeira extensão do browser.

Se o usuário estiver atento é possível notar que o endereço disponibiliza um arquivo .exe ao invés da extensão .crx porém, esse detalhe importante não tem recebido a importância devida, diz a BitDefender.

O vírus identificado pela empresa como Trojan Agent-20577, modifica o arquivo  hosts do Windows na tentativa de bloquear o acesso às páginas do Google e Yahoo.

Toda vez que o usuário da máquina infectada digita no navegador algum dos dois endereços, ele é redirecionado a outro IP, permitindo assim que o hacker o encaminhe para a versão falsificada desses sites.

Esse é mais um dos ataques de phishing direcionados a usuários específicos acontecendo em 2010. No começo do ano, milhares perfis do Twitter foram vitimas de ações semelhantes.

Nova tentativa de phishing mirando os usuários do Orkut foi lançada recentemente. Um e-mail com título de Denúncia – Orkut.com esta circulando em caixas postais net a fora, e apesar de sua aparência até lembrar o velho visual do Orkut, o e-mail não tem ligação alguma com a rede social.

O e-mail tenta fazer o leitor acreditar que seu perfil no Orkut foi denunciado, afim de que o mesmo clique em um link para regularizar a sua situação, com o seguinte texto os hackers estão tentando enganar os internautas:

“O Orkut é uma comunidade on-line que conecta pessoas através de uma rede de amigos confiáveis.

E o seu Profile foi denunciado por postar fotos não autorizadas pelo nosso sistema do orkut.

Dentro de (48 horas) seu Orkut será bloqueado se você não ativar seu novo Profile.

Obs. Para que isso não aconteça com você basta ativar seu novo Profile no link abaixo.

(Agradece toda Direção do Orkut.com)!”

Com este texto e com o visual mostrado abaixo os hackers tentam passar a falsa impressão de que se trata de um e-mail da Google. Porém a farsa vem abaixo logo no link quando posicionado o mouse sobre o mesmo pode-se observar que a url não pertence ao Google.

Outro erro é no e-mail que até consegue enganar os mais desavisados,
 mas quando se olha o código fonte da mensagem nota-se o real e-mail por traz da mensagem.
O real e-mail é ... 

O pior ainda esta por vir, pois se alguém receber este e-mail e sem saber clicar no link que
 nele existe vai esta contraindo um Trojan-Dropper.Agent,
 que em meus testes se mostrou chato pois exibe uma janela de tempos em tempos.
Se passando pela janela do “Meu computador”

Segue abaixo a análise do vírus

Arquivos criados:

C:\WINDOWS\system32\sto1940.exe

C:\WINDOWS\system32\tyune.exe

C:\WINDOWS\system32\tyuplu.exe

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DF47BB.tmp

Processos criados:

C:\WINDOWS\explorer.exe     

C:\WINDOWS\system32\sto1940.exe

C:\WINDOWS\system32\tyune.exe

C:\WINDOWS\system32\tyuplu.exe

Além de criar processos, arquivos, e alterar parte do registro este vírus também faz com que
 sua maquina passe a obedecer a ordens remotamente,
ou seja, você será invadido sem nem ao menos perceber.
 Então fica o alerta caso receba algum e-mail intitulado Denúncia – Orkut.com  
Ativação de segurança e Autenticidade de profile.
Saiba que se trata de um falso e-mail.

Uma nova mensagem esta circulando no twitter a fim de roubar as credenciais dos usuários.

O golpe começa com um link encurtado que ao ser clicado redireciona o usuário para uma pagina com a url parecida com a url de login do Twitter quando na verdade se trata de uma pagina fake, e todos os dados ali digitados serão enviados para o hacker que criou a pagina.

Como já foi noticiado em outros sites outras mensagens –DM-  com intuitos não muitos distintos já foram disseminadas, na ocasião a intenção era infectar o usuário que clicasse no link contido na mensagem.

Como eu já falei em outras ocasiões este tipo de risco pode ser dizimado com atitudes simples, como por exemplo, usar o Add-on UntinyFox que mostra qual é a url escondida por traz de uma url encurtada, assim anulando as chances de clicar em links maliciosos sem saber para onde esta sendo direcionado.

A página de login falso está hospedada em um domínio que aponta para um servidor na China. Outros domínios que estão hospedados no mesmo servidor que o endereço este, incluindo bzpharma.net, têm sido usados em campanhas anteriores spam no Twitter.

Muitos usuários já caíram neste golpe, portanto fiquem atentos a url de login sempre pois como podem vem na imagem o link apesar de ser parecido não é o mesmo.

Uma nova ameaça esta bombardeando as caixas de e-mails de muitos internautas com o título “que mentira!!!!!!!”. Em seu conteúdo um suposto link para um vídeo postado no YouTube. Porém se posicionar o mouse sobre o link nota-se que o link levará a pessoa à outra pagina onde esta o vírus.

O link disfarçado como vídeo do youtube é este: 

http://www.youtube.com/watch?v=nf22iyNrxQw

Que na verdade nem existe, o link verdadeiro por traz desta farsa é:
 hxxp://208.98.49.134/meuvideo.com?0.654419238765469
(favor não clicar sobre este link)

Recebi este e-mail hoje de dois amigos e logo que abri o e-mail o McAfee VirusScan  já me alertou para o link, em seguida usando uma VM (Virtual Machine) cliquei sobre o link baixei o vírus e fiz uma análise completa nele.

Ao que parece este tipo de vírus tem a intenção de criar uma rede de botnets, pois a cada PC infectado milhares de e-mail são enviados sem que o verdadeiro autor ou dono da maquina esteja sabendo. A estratégia não é nova, porém o que me chamou a atenção nesta tentativa, foi que os autores conseguiram alterar dados do protocolo TCP para o envio dos e-mails.

Para quem ainda não entrou em contato com o vírus a dica é deletar o e-mail assim que recebê-lo, para quem já clicou no link e se infectou a dica é procurar um fórum que dê suporte a remoção de malwares.  Eu pessoalmente indico e dou suporte no FórumWeb, o link esta disponível na lista de links ao lado.

Análise do Vírus

Arquivos criados:
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\4X23OP2B\b4[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GPURSX23\b2[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODM3O1U3\b3[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\b1[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\b5[1].jpg

C:\Documents and Settings\Administrator\Stream.log

C:\WINDOWS\system32\MsBlocker.dll

C:\WINDOWS\system32\blocker.exe

C:\WINDOWS\system32\f3rn4nd4.dll

C:\WINDOWS\system32\javaaa.exe

C:\WINDOWS\system32\spooler.exe

Arquivos modificados:

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\4X23OP2B\b4[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GPURSX23\b2[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ODM3O1U3\b3[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\b1[1].jpg

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\b5[1].jpg

C:\Documents and Settings\Administrator\Stream.log

C:\WINDOWS\system32\MsBlocker.dll

C:\WINDOWS\system32\blocker.exe

C:\WINDOWS\system32\f3rn4nd4.dll

C:\WINDOWS\system32\javaaa.exe

C:\WINDOWS\system32\spooler.exe

Ip

PIPE\lsarpc

\Device\Afd\AsyncConnectHlp

\Device\Afd\Endpoint

\Device\Ip

\Device\NetBT_Tcpip_{1AD45B38-4060-4F73-BB1E-A0439A2D97EB}

\Device\RasAcd

\Device\Tcp

Além de criar e modificar arquivos o vírus também alterar alguns parâmetro do registro como \Winsock2 entre muitos outros. Após a analise do arquivo fiz um scan nele no site VirusTotal e vejam o resultado.

Fica o alerta caso receba algum e-mail intitulado “que mentira!!!!!!!” saiba que se trata de uma tentativa de phishing, e exclua o e-mail, mesmo que tenha sido enviado por alguém que você conhece.

Nos ultimos dias tenho alertado os leitores para um grande número de tentativas de phishing – pescaria- usando os mais diversos assuntos. Agora surge uma nova tentativa de phishing usando o tema da Copa do Munda de 2010.

No e-mail afirmam o destinatário ganhou uma quantidade considerável de dinheiro vindo da Associação de Futebol Sul-Africano. Porém que para receber este dinheiro você teria que pagar “taxas de processamento” ou encargos “transferência” e o internauta que pagar estes “encargos” recerá seu prêmio. Só que na verdade você paga e nunca mais vai ver seu dinheiro devolta, muito menos o tal prêmio milhonário.

Ainda existem rodando na internet mais outras duas tentativas de phishing usando o nome da FIFA, em uma delas prometem que se você pagar determinado valor você poderar ver os jogos online com qualidade HD, porém o que o internauta realmente recebe é um falso antivirus, (Rogue).

Lembre-se que é final de ano e os bandidos estão loucos para faturar, estão usando todos os temas em alta. Prova disso são as recentes matérias que postei aqui como a tentativa de phishing envolvendo o jogador Tiger Woods, a vacina para H1N1 e muitos outros. Fique atento, pois você pode ser vitima do seu desejo.

Recebi essa manhã um e-mail se que dizia ser um Web Torpedo Vivo, porém logo ao ler percebi que se tratava de mais uma tentativa de phishing usando o nome da operadora Vivo.

Tendo isto em mãos fui verificar de onde partiu este e-mail e qual tipo de virus utilizado. O remetente até usa um e-mail da Vivo porém o link onde estaria  o tal “torpedo” não é nada parecido com o domínio da Vivo.

Vejam abaixo os dados:

Email do remetente:

Link presente no e-mail:

Atenção: estes links contém arquivos maliciosos e não devem em hipótese alguma ser executados.

Resultado da análise do arquivo infectado:

A análise do arquivo foi realizada no site VirusTotal e esta disponível para acesso neste link

Este tipo de phishing(pescaria) tem a intenção de sequestrar seus dados bancários e qualquer tipo de senha que possa ser lucrativo aos bankers. Para evitar basta ignorar este tipo de e-mail. Se por algum acaso você tiver com vírus posso te ajudar basta acessar o este link se cadastrar e postar um log do hijackthis.

Fica o aviso se receber qualquer e-mail com estas características, favor deletar e sempre tenha em mente que Web Torpedos nunca são enviados para seu e-mail e sim para seu celular.

Este novo ataque tem como meta roubar credencias as quais dão acesso a cPanel/FTP o ataque vem por e-mail e nele os ciber-criminosos pedem para que você confirme sua senha de FTP, dessa forma obtendo todas as suas credencias.

O e-mail se assemelha com algum e-mail vindo de uma empresa de hospedagem, e utilizando-se desse ataque os criminosos têm conseguido roubar dados sigilosos e causar grandes prejuízos.

cPanel é um sistema amplamente utilizado, boa parte dos sites de hospedagem utiliza esse sistema, talvez até por esse predomínio os criminosos tenham se concentrado apenas em usuários do cPanel.

Amit Klein CTO da Trusteer disse:

“Ao roubar as credenciais de login do cPanel, os criminosos não precisam usar ferramentas de hacking para carregar o conteúdo de um site, e, portanto, pode evitar a detecção até depois tenham desviado recursos do consumidor e as contas bancárias de negócios.”

Portanto se você é usuário do cPanel fique atento a qualquer e-mail pedindo para você confirmar suas senhas, lembrando mais uma vez que esse tipo de confirmação só deve ser feita no próprio site de hospedagem e nunca por e-mail.