EMAIL FALSO: Terra Mensagem

Outra fraude utilizando o nome do provedor Terra, desta vez a mensagem é simples conforme vocês podem observar abaixo.

O link indica um arquivo chamado “Cartao_Terra.com”. O arquivo é utilizado para capturar dados bancários e altera diversos registros na máquina. Já foi solicitada a remoção do arquivo e abaixo segue a análise do arquivo feita pelo ThreatExpert e o CWSandbox da Sunbelt Software.

ThreatExpert Report

CWSandbox Report

EMAIL FALSO: Comunicado Importante

Nova fraude em nome do provedor Terra, dessa vez utilizando o formato igual aos comunicados enviados. Abaixo segue a tela capturada do email. A arquivo e a página onde o usuário é direcionado ao clicar já foi removida pelo No-IP.com.

WordPress Fake??

Tava lendo umas notícias agora e me deparei com a seguinte matéria “Crackers criam falso site do WordPress“. Agora me veio a cabeça a seguinte pergunta.

Mas quem (pelo amor de Deus) vai me baixar uma versão do WordPress de outro site que não seja o www.wordpress.org?

Fala sério, o sistema é free sem restrição alguma. Na página tem o link para a versão Stable (Estável – 2.6.3), além de um link para para o blog deles onde é possível pegar a versão Beta (2.7 beta 2).

Por favor, pegar script free de outro site que não seja o de quem desenvolveu é dar tiro no pé e pedir pra se dar mal.

Abração!

EMAIL FALSO: Comunicado de segurança – Terra

Nova fraude utilizando o nome do Terra. O email indica o envio pelo email Terramail@terra.com.br, porém em análise no cabeçalho do email é possível verificar que esse campo foi FORJADO.

A rede que hospeda a página falsa e o arquivo malicioso já foram notificados para remoção do conteúdo e correção da página.

Segue abaixo o email e as informações.

O link abre uma página falsa para download dos arquivos.

Apesar de mostrar 2 links na mensagem, o arquivo é o mesmo Antispam_Terra.com. Identificado pelo Symantec como Downloader.Bancos http://securityresponse.symantec.com/avcenter/cgi-bin/virauto.cgi?vid=17561, é utilizado para captura de dados sensíveis. Abaixo segue as telas do Symantec.

Formulário de recadastramento – Terra

O email indica o download de um “formulário” para recadastramento do email em um prazo de 24 horas, senão o mesmo será cancelado.

O link “Download” leva a um arquivo .scr para roubo de dados sensíveis, como usuário e senha de emails e dados bancários.

O mesmo email foi enviado com diversos assuntos, exemplo:

Solicitação de recadastramento de e-mails.

Cancelamento de E-mail…

Imagem da mensagem (clique para ampliar)

Email Falso – Terra

A fraude vem com 3 tipos de Assunto, vou listar abaixo:

Provedor Terra – Bloqueamento de sua conta (Instale Microsoft Security mailTerra obrigatoriamente)

Terra – Bloqueamento de sua conta (Instale Microsoft Security mailTerra obr igatoriamente)

Para sua segurança pedimos o recadastramento de sua senha terra!!!!

O link aparece como “www.terra.com.br/download/”, porém ao clicar o mesmo vai para a URL:

http://terraz.host.sk/mail/mail.terra.com.br.htm
(Página já removida)

O arquivo na verdade serve para roubo de dados sensíveis, como usuário e senha de emails e dados bancários.

Imagem da mensagem (clique para ampliar)

TV Digital já?

Pois é, a TV Digital nem bem começou em todo o país e já tem Phishing sobre isso.

A idéia do Phishing é “baixar” um arquivo, o mesmo diz ser um software “gratuito” que permite assistir ao sinal digital no computador. Como sempre os erros de português estão presentes, como em “segunda feira” e “nossites”.

O email indica um link que ao clicar efetua o download do arquivo DTVinstall.exe com 1.48MB. Esse arquivo é um malware variante do “Trojan-Spy.Win32.Banker“ que tem a funcionalidade de roubar informações financeiras (dados bancários).

O malware também se multiplica e altera arquivos do sistema, tem a característica de auto-mutação para se esconder.

Ao verificar o arquivo na página http://virusscan.jotti.org/ vem o seguinte resultado.

Antispam.br

A CGI.br lançou mais 2 vídeos da campanha Antispam (Spam e Defesa). Os vídeos falam o básico que se cada usuário fizer a sua parte muita coisa seria melhor na internet atualmente.

Acessem os vídeos no site http://antispam.br/videos/

Abração!

Phishing Scam com a marca Terra e Vivo

Hoje recebi 2 emails fraudulentos na minha conta pessoal fazendo se passar por 2 marcas brasileiras, o provedor Terra e a operadora de celular Vivo.

Terra

Vivo

No email “Terra”, a formatação já denuncia o email pois está “grotesca”, o link está mascarando a URL:

http://www.zcm.com.br/administrator/images/.goup_line/terra_cartao.php.

Já o email “Vivo” foi utilizado a formatação com imagens que “esconde” a URL:

http://www.zcm.com.br/administrator/images/.goup_line/Vivo_sms.php.

O curioso é que os 2 endereços redirecionam a mesma URL com o arquivo malicioso:

http://www.insightbrasilrh.com.br/Msg_397124682.scr.

Aparentemente o arquivo “scr” já foi removido do servidor. Mesmo assim notifiquei ao responsável para corrigir a falha de segurança que permitiu acesso ao seu servidor. Não sei qual é o script usado na página www.zcm.com.br mas também notifiquei o responsável!

Vou colocar aqui o header dos emails

Return-Path:
Received: from [unix socket]
by candelo.hst.terra.com.br (LMTP);
Fri, 19 Oct 2007 17:57:57 -0200 (BRST)
X-Terra-Karma: -2%
X-Terra-Hash: 63ba5b74aaf9214000f7b03148735757
Received-SPF: none (candelo.hst.terra.com.br: 69.73.139.148 is neither permitted nor denied by domain of server2.osrty.com) client-ip=69.73.139.148; envelope-from=nobody@server2.osrty.com; helo=server2.osrty.com;
Received: from server2.osrty.com (server2.osrty.com [69.73.139.148])
by candelo.hst.terra.com.br (Postfix)
with ESMTP id D3A533680184 for ;
Fri, 19 Oct 2007 17:57:56 -0200 (BRST)
Received: from nobody
by server2.osrty.com
with local (Exim 4.68) (envelope-from ) id 1Iixyg-0006Z6-4q for xxx@terra.com.br;
Fri, 19 Oct 2007 15:57:50 -0400
From: Vivo Creditos
To: xxx@terra.com.br
Message-Id:
Date: Fri, 19 Oct 2007 15:57:50 -0400
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – server2.osrty.com
X-AntiAbuse: Original Domain – terra.com.br
X-AntiAbuse: Originator/Caller UID/GID – [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain – server2.osrty.com
Content-Type: text/html
X-Terra-AV: McAfee VirusScan/5.1.00/5145
X-Terra-Bucket-Rate: 1.000
X-Terra-Bucket: Festa
MIME-Version: 1.0
Subject: Promocao da vivo. Ganhe creditos respondendo essa enquete Vivo On-line….
X-Terra-ISI: 1,1192823877.920509.12167.candelo.hst.terra.com.br,1903,1112216894685732,1112216894685732

Return-Path:
Received: from [unix socket]
by ladigue.hst.terra.com.br (LMTP);
Fri, 19 Oct 2007 17:57:49 -0200 (BRST)
X-Terra-Karma: -2%
X-Terra-Hash: 3c385472a5265855bf084d26e42a0e7f
Received-SPF: none (ladigue.hst.terra.com.br: 69.73.139.148 is neither permitted nor denied by domain of server2.osrty.com) client-ip=69.73.139.148; envelope-from=nobody@server2.osrty.com; helo=server2.osrty.com;
Received: from server2.osrty.com (server2.osrty.com [69.73.139.148])
by ladigue.hst.terra.com.br (Postfix)
with ESMTP id CADCAD680BC for ;
Fri, 19 Oct 2007 17:57:48 -0200 (BRST)
Received: from nobody
by server2.osrty.com
with local (Exim 4.68) (envelope-from ) id 1IixyY-0006RL-7c for xxx@terra.com.br;
Fri, 19 Oct 2007 15:57:42 -0400
Subject: Ola, voce recebeu um Cartao Terra…
From: Terra! Web Cartao….
To: xxxl@terra.com.br
Message-Id:
Date: Fri, 19 Oct 2007 15:57:42 -0400
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – server2.osrty.com
X-AntiAbuse: Original Domain – terra.com.br
X-AntiAbuse: Originator/Caller UID/GID – [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain – server2.osrty.com
Content-Type: text/html
X-Terra-AV: McAfee VirusScan/5.1.00/5145
X-Terra-Bucket-Rate: 1.000
X-Terra-Bucket: Desejados
MIME-Version: 1.0
X-Terra-ISI: 1,1192823869.697722.22342.ladigue.hst.terra.com.br,5953,Des15,Des15

Cabeçalho no Outlook Express

Adicionamos os procedimentos para retirar o cabeçalho no Outlook Express, para acessar clique aqui, ou no link “Outlook Express“ nas Páginas do menu a direita.