Um e-mail falso foi enviado em nome da Telemar/Oi. Ele divulga a promoção Big Brother Brasil da operadora (que já acabou) e tenta enganar o usuário para que o mesmo clique no link da mensagem que leva ao cavalo-de-tróia telemar.scr. O cavalo-de-tróia é responsável pela instalação de outro trojan que rouba senhas de banco.

A extensão usada pelo trojan (.scr) é desconhecida por algumas pessoas: trata-se das proteções de tela. Proteções de tela (não confunda com papéis de parede) são arquivos executáveis comuns e, portanto, um arquivo SCR é tão perigoso quanto um arquivo executável (.exe).

O arquivo está armazenado em um servidor comprometido dentro da documentação (manual) do servidor web Apache. O arquivo foi armazenado lá provavelmente para que os administradores do servidor (que foram avisados sobre o arquivo pela Linha Defensiva) não encontrassem a praga.

O e-mail tenta usar um pequeno javascript para que o endereço verdadeiro do download não seja exibido quando o usuário rolar o mouse sobre o link. A maioria dos clientes de e-mail mais novos não executam esse javascript e o link é exibido normalmente, mas alguns sistemas de webmail podem não filtrar o script e esconder o link malicioso.

Golpes e cavalos-de-tróia como esse são comuns no Brasil. Nas estatísticas publicadas pela Linha Defensiva, o “Banker” (como é conhecido o cavalo-de-tróia que rouba as senhas de banco) apareceu no Top10 em todos os meses até agora. Mesmo assim, apenas 8 dos 24 antivírus utilizados no site VirusTotal detectaram a variante do trojan divulgada no e-mail fraudulento.

Você pode conferir uma screenshot do golpe, os resultados no VirusTotal e o conteúdo completo do e-mail no relatório da fraude na seção AntiVirus Safe da Linha Defensiva e também colaborar com a seção enviando os e-mails fraudulentos que você receber.

Anúncios

Escrito por Redação Linha Defensiva

1 comentário

  1. Excelente a idéia de colaborarmos com uma network de antivírus. Mas, como transformar um e-mail suspeito em arquivo anexo a ser enviado para scan?

    Curtir

Os comentários estão encerrados.