A Kaspersky Lab acaba de descobrir uma mensagem de spam com um falso cartão eletrônico em Português, direcionando para uma peça interessante de malware.
A Kaspersky Lab acaba de descobrir uma mensagem de spam com um falso cartão eletrônico em Português, direcionando para uma peça interessante de malware. O link da mensagem é encurtado no serviço bit.ly e mostra que a campanha, criada em 20 de Dezembro de 2013, em poucas horas já acumulava 628 clicks.
A maioria das pessoas que clicou veio do Brasil, porém, as estatísticas do mesmo usuário do Bit.ly que criou o link encurtado mostram que outras URLs direcionam as vítimas para o mesmo malware, mas em diferentes domínios, num total de 619 clicks, sendo os EUA o segundo país com o maior número de vítimas em potencial.
O criminoso atrás do ataque preparou dois diferentes links: um deles apontando para um arquivo hospedado num servidor controlado pelos criminosos e outro localizado num servidor de uma empresa brasileira que foi comprometida.
Dentro do ZIP há um arquivo .CPL, detectado como Trojan-Downloader.Win32.Banload.cpph, que depois de executado irá baixar outros arquivos maliciosos e não maliciosos, para completar a infecção. Todos esses arquivos são baixados de um servidor brasileiro.
Uma vez que o Banloader.cpl é executado, ele tenta iniciar o Mozilla Firefox a partir de uma linha de comando, mostrando uma página (legítima) de update do Java. Disfarçada como um update de aplicação legítima, a praga irá executar diversos comandos em segundo plano e irá criar cópia de si mesmo pelo sistema para tornar o processo de limpeza mais difícil.
Quem está por trás do ataque?
Certamente alguém do Brasil. A Kaspersky encontrou traços indicando que o criminoso por trás do ataque gosta de games on-line. Também um perfil idêntico postou no mesmo dia 7 diferentes URLs no Bit.ly.
Outros dados interessantes desse ataque é a imagem do Papai Noel anexada a mensagem de e-mail original, ela também foi encurtada via Bit.ly e está apontando para um website legítimo do governo brasileiro.
As estatísticas do bit.ly mostram que há 5707 cliques na imagem. Na realidade não há cliques, mas sim pré-visualizações feitas por vítimas em potencial através de programas de e-mail. Em outras palavras, se o e-mail está configurado para exibir imagens externas, ele irá automaticamente descarregar a imagem do bit.ly, contando nas estatísticas.
Copyright © 1997 - 2014 Kaspersky Lab ZAO.
Todos os direitos reservados. Software Antivírus Líder do Segmento.
