Na última semana, recebemos em nosso laboratório um e-mail utilizando como tema de engenharia social um suposto acidente que uma criança do Rio de Janeiro teria sofrido ao tentar saltar de uma altura de 30 metros para voar de parapente. Para torna-lo mais convincente, é inserida uma imagem que aparenta ser um vídeo compartilhado por redes sociais e se afirma que o falso arquivo anexo (o malware é baixado através de um link inserido na imagem) foi analisado pela solução antimalware do Hotmail, verificado como livre de ameaças.
Na tela a seguir, vemos o e-mail exibido e a considerável quantidade de endereços de envio no campo “Para”:
Conforme mencionado anteriormente, se o usuário acessar o link inserido no suposto vídeo irá baixar um arquivo malicioso com extensão COM que faz alusão ao portal Youtube ao incluí-lo como parte de seu nome, utilizando assim uma artimanha somada à confusão que pode gerar no usuário quando um arquivo executável “COM” e o domínio genérico de um site “.com”. No primeiro caso, trata-se de arquivos executáveis que costumavam ser utilizados em sistemas operacionais antigos como MS-DOS e que, na atualidade, estão sendo amplamente utilizados para facilitar a propagação de malware, ao conseguir enganar usuários que poderiam evitar extensões suspeitas, como .EXE. No segundo caso, a terminação .com é utilizada para domínios genéricos de Internet, diferente de terminações territoriais, como .cl (Chile) ou .br (Brasil), que pertencem a determinado país.
Este “trágico incidente” foi detectado pelo ESET NOD32 Antivirus como o trojan Win32/TrojanDownloader.Agent.RDR. Se esta ameaça é executada, tenta baixar dois arquivos que atualmente estão corrompidos, ou seja, que não funcionavam corretamente. Contudo, vale destacar que, a qualquer momento, os criminosos virtuais responsáveis por estes códigos maliciosos podem atualizar o servidor a partir de onde são baixados os arquivos com finalidade de disseminar mais malware.
Somado ao anterior, a vontade de obter dinheiro ilicitamente por parte desses criminosos virtuais não terminam aqui. Realizando uma análise mais detalhada, encontramos dois códigos maliciosos que provavelmente também foram propagados por este grupo. Um deles também é enviado simulando um vídeo, porém utilizando outro tema menos explícito. Aqui o usuário é seduzido a partir da desculpa de que nesse material multimídia poderá observar coisas absurdas que acontecem no país. Neste caso, trata-se de um trojan bancário (destinado a roubar informações bancárias), também detectado por nossa solução antivírus como Win32/Spy.Banker.XOT. Ao ser executado, baixa da Internet e executa outra ameaça, o trojan BAT/Agent.NLF.
Finalmente, encontramos um terceiro código malicioso que, através da técnica de pharming local, modifica o arquivo host do computador da vítima para redirecioná-la a sites fraudulentos quando tentar acessar determinadas instituições financeiras e bancos brasileiros. Assim como o anterior, este trojan também atua como proxy com a finalidade de garantir mais uma vez que o usuário irá acessar um site bancário falso. Veja a captura da tela do golpe:
Neste caso, pudemos observar que o trojan detectado como Win32/ProxyChanger.CF age formatando o sistema da vítima após algum tempo. Por outro lado, destacamos que somente com a recepção de somente um e-mail e após várias análises exaustivas, pudemos determinar que esses criminosos virtuais contam com pelo menos quatro códigos maliciosos (três propagados e outro que é baixado após a infecção) e uma grande criatividade para manipular os usuários mais desatentos e assim maximizar seus ganhos ilícitos.
Neste tipo de caso, o principal conselho, além de evitar clicar em links desconhecidos que sejam enviados a você em e-mails e redes sociais. Além disso, através da utilização de uma solução antivírus com capacidade de detecção proativa e adotar uma postura de uso que permita ao usuário discernir entre um e-mail malicioso e um genuíno permite mitigar o impacto das ameaças digitais. Em casos onde a pessoa tenha sido vítima desse tipo de ameaça, é imprescindível que entre em contato com seu banco para mudar as senhas e adotar as medidas necessárias.
André Goujon
Especialista de Awareness & Research
