.exe?
ainda bem que não sofro desse mal ^^
Golpe Virtual da Caixa passa a circular esta semana
Por José Antonio Milagre
Data de Publicação: 25 de Agosto de 2009
Mais um Golpe de Phishing Scam passou a circular na manhã desta terça-feira (25 de agosto de 2009) na Internet. Por meio dele, o usuário recebe um e-mail aparentemente de "CAIXA", com o assunto "Componente Atualizado Caixa", com um texto que certamente foi revisto por um professor de português (ao contrário de muitos que circulam onde percebe-se claramente que o atacante peca em sua gramática):
Your browser may not support display of this image.
Ao analisarmos as propriedades do E-mail verificamos na verdade que se trata de um e-mail "caixa@rec.org", o que por si já é suficiente para constatar a fraude. Ao analisarmos o header (cabeçalho do e-mail), nota-se que os criminosos utilizam o serviço "privatedns", com Ips alocados fora do Brasil:
Return-path: <nobody@cl-t030-521cl.privatedns.com> Envelope-to: jose.milagre@legaltech.com.br Delivery-date: Tue, 25 Aug 2009 10:37:39 -0300 Received: from ip-67-205-74-71.static.privatedns.com ([67.205.74.71] helo=cl-t030-521cl.privatedns.com) by servidor1.aquaticbrasil.com.br with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from <nobody@cl-t030-521cl.privatedns.com>) id 1MfwDT-0005Mx-0o for jose.milagre@legaltech.com.br; Tue, 25 Aug 2009 10:37:39 -0300 Received: from nobody by cl-t030-521cl.privatedns.com with local (Exim 4.69) (envelope-from <nobody@cl-t030-521cl.privatedns.com>) id 1MfwD9-0001aJ-Cu for jose.milagre@legaltech.com.br; Tue, 25 Aug 2009 18:37:19 +0500 To: jose.milagre@legaltech.com.br Subject: Componente Atualizado CAIXA. From: CAIXA <caixa@rec.org> MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1 Content-Transfer-encoding: 8bit Reply-To: CAIXA <caixa@rec.org> Message-ID: <58c06cb77ac55bbefb37935af65fb136@rec.org> X-Priority: 3 X-MSmail-Priority: High X-Mailer: Microsoft Office Outlook, Build 11.0.5510 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441 X-Mailer: iGMail [www.ig.com.br] X-Originating-Email: [CAIXA] X-Sender: CAIXA X-Originating-IP: [201.201.120.121] X-iGspam-global: Unsure, spamicity=0.570081 ? pe=5.74e-01 ? pf=0.574081 ? pg=0.574081 Date: Tue, 25 Aug 2009 18:37:19 +0500 X-AntiAbuse: This header was added to track abuse, please include it with any abuse report X-AntiAbuse: Primary Hostname ? cl-t030-521cl.privatedns.com X-AntiAbuse: Original Domain ? legaltech.com.br X-AntiAbuse: Originator/Caller UID/GID ? [99 99] / [47 12] X-AntiAbuse: Sender Address Domain ? cl-t030-521cl.privatedns.com
Interessante que na falsa identidade, o criminoso tem o cuidado de utilizar imagens que realmente são do site do Banco. Veja, com trechos do código html:
<tr>
<td style="text-align: left; background-color: rgb(0, 0, 153);"><img
src="http://www.caixa.gov.br/_newimages/icaixa/header_caixa.jpg"
alt="cef" style="" /><img style="width: 141px; height: 57px;" alt="bank"
src="http://www.caixa.gov.br/_newimages/icaixa/O_banco_que_acredita.jpg" /></td>
</tr>
Então verificamos o link onde o suposto arquivo é baixado:
http://213.42.201.62/conn3.asp?http://www.caixa.gov.br/Modulo?card_id=3948298d8v9y589498veimv4y45r9er8v13
Note que o falsário usa o site da caixa como "querystring", apenas para iludir a rápida investida visual de um usuário menos atento.
Ao clicarmos no Link somos direcionados a um arquivo chamado "CAIXA.exe". Este arquivo, testado em nosso laboratório, instala um código kernel mode que prejudica o acesso ao site da maioria dos bancos brasileiros, capturado dados digitados, teclado virtual e os remetendo via ftp para o criminoso. (Embora o código também tenha função para envio de e-mail).
Se recebeu este e-mail, não o execute, apague imediatamente. Se já executou, desconecte a máquina da Rede e procure um especialista.
Veja a relação completa dos artigos da coluna Legaltech
Para se manter atualizado sobre as novidades desta coluna, consulte sempre o newsfeed RSS
Para saber mais sobre RSS, leia o artigo O Padrão RSS - A luz no fim do túnel.
Opinião dos Leitores
bispoom
26 Ago 2009, 19:43
26 Ago 2009, 19:43
Fernando
25 Ago 2009, 17:49
25 Ago 2009, 17:49
Não se deve publicar endereços com malware diretamente, um usuário menos atencioso pode clicar, por descuido, no link, ou o mesmo pode ser re-enviado com a intenção de prejudicar alguém.
Também não tem nada de novo nesse golpe, recebo o mesmo a diversos meses nas minhas contas de armadilha.
Quando se deparar com uma URL dessas, denuncie em lugares úteis, como:
http://www.malware.com.br/ - para Malware
http://www.phishtank.com/ - para sites Fake
http://www.cert.br/
http://www.cert.br/contato-br.html - para fraudes em geral.
Também não tem nada de novo nesse golpe, recebo o mesmo a diversos meses nas minhas contas de armadilha.
Quando se deparar com uma URL dessas, denuncie em lugares úteis, como:
http://www.malware.com.br/ - para Malware
http://www.phishtank.com/ - para sites Fake
http://www.cert.br/
http://www.cert.br/contato-br.html - para fraudes em geral.
Gleison
25 Ago 2009, 16:29
25 Ago 2009, 16:29
Adam a questão não é esta. Acredito que tópicos desse tipo são ótimos. Antes a técnica utilizada por estas pessoas era de envio por ftp ou smtp dos dados capturados. Em algumas redes isso não é possível pois na grande maioria das redes, apenas os servidores smtp e ftp podem enviar/receber dados de/para a Internet.
Note:
Snifando o trojan cheguei no endereço
POST /pingyun/old/May/13.php HTTP
www.askwhy.org.uk/pingyun/old/May/13.php / 66.232.130.13
Ou seja em uma rede com um proxy ou qualquer acesso a internet(digo browser) o usuário poderia enviar os dados capturados pelo trojan sem problemas.
Pra quem gosta de brincar com segurança de rede vale a pena dar uma olhada nestas "novas técnicas".
Note:
Snifando o trojan cheguei no endereço
POST /pingyun/old/May/13.php HTTP
www.askwhy.org.uk/pingyun/old/May/13.php / 66.232.130.13
Ou seja em uma rede com um proxy ou qualquer acesso a internet(digo browser) o usuário poderia enviar os dados capturados pelo trojan sem problemas.
Pra quem gosta de brincar com segurança de rede vale a pena dar uma olhada nestas "novas técnicas".
ADAM
25 Ago 2009, 15:52
25 Ago 2009, 15:52
Nossa grande coisa, acredito que a esta altura do campeonato todo mundo sabe que atualizações de contas bancarias, números de cartões e coisas parecidas não são nunca pedidos nem menos enviados por e-mail. Portanto, qualquer e-mail deste tipo deve ser apagado imediatamente ou para o usuário que conhece e sabe destas coisas pode até salvar e ficar brincando do que esse código faz, mas isso já vai por conta e risco próprio.
Gleison
25 Ago 2009, 15:30
25 Ago 2009, 15:30
Só para verificarem...
Ao clicar no link citado no artigo(http://213.42.201.62/conn3.asp?http://www.caixa.gov.br/Modulo?card_id=3948298d8v9y589498veimv4y45r9er8v13
), retorna que o Site está bloqueado por fraude, etc...
Porém o arquivo ainda se encontra upado. Como podem ver.
wget http://213.42.201.62/conn3.asp
--2009-08-25 15:26:33-- http://213.42.201.62/conn3.asp
Conectando a 213.42.201.62:80... conectado.
HTTP requisição enviada, aguardando resposta... 302 Object moved
Localização: http://221.12.53.164/MenuControl/obj/Debug/nt/CAIXA.exe [seguinte]
--2009-08-25 15:26:34-- http://221.12.53.164/MenuControl/obj/Debug/nt/CAIXA.exe
Conectando a 221.12.53.164:80... conectado.
HTTP requisição enviada, aguardando resposta... 200 OK
Tamanho: 529920 (518K) [application/octet-stream]
Salvando para: `CAIXA.exe'
Abcs!
Ao clicar no link citado no artigo(http://213.42.201.62/conn3.asp?http://www.caixa.gov.br/Modulo?card_id=3948298d8v9y589498veimv4y45r9er8v13
), retorna que o Site está bloqueado por fraude, etc...
Porém o arquivo ainda se encontra upado. Como podem ver.
wget http://213.42.201.62/conn3.asp
--2009-08-25 15:26:33-- http://213.42.201.62/conn3.asp
Conectando a 213.42.201.62:80... conectado.
HTTP requisição enviada, aguardando resposta... 302 Object moved
Localização: http://221.12.53.164/MenuControl/obj/Debug/nt/CAIXA.exe [seguinte]
--2009-08-25 15:26:34-- http://221.12.53.164/MenuControl/obj/Debug/nt/CAIXA.exe
Conectando a 221.12.53.164:80... conectado.
HTTP requisição enviada, aguardando resposta... 200 OK
Tamanho: 529920 (518K) [application/octet-stream]
Salvando para: `CAIXA.exe'
Abcs!
Powered by Scriptsmill Comments Script
