Novo golpe por e-mail faz convite para mesário do TSE
José Antonio Milagre
(01/06/2010)
Perito em Crimes Digitais
http://www.twitter.com/periciadigital
Um novo e-mail falseando a identidade do TSE (Tribunal Superior Eleitoral) passou a circular no último final de semana na Internet. A mensagem, remetida pelo usuário “TSE Eleições 2010”, com e-mail fake noreply@tse.gov.br, possuindo 3kb, convida usuários para conhecerem o programa de mesário para as eleições 2010, através do download de um formulário disponível no falso site do Tribunal:
No entanto, o link fornecido apenas esconde o real site, identificado como fora do País, e utiliza o serviço de links reduzidos ou “short links” ad.vu (Adjix), a seguir exibido:
Ao acessar o site, o usuário recebe uma mensagem para baixar um suposto formulário do TSE, assim disposta:
Por mais que o usuário tentasse esconder o link onde hospedava o trojan (.scr) identificamos o mesmo quando do download, e lá percebemos que o site www.tse.ag.gp fora criado apenas para hospedar o trojan, que estava lá até o momento do fechamento deste artigo, tendo sido editado pela última vez no dia 01/06:
Na seqüência identificamos que o serviço “ag.gp” é um daemon de hospedagem de sites com php e mysql gratuito, cujo mantenedor está localizado na República Federal da Alemanha. Somente este site teria os logs dos bandidos que estão falseando a identidade virtual do TSE no Brasil.
Já o header de recebimento do e-mail indica como proveniente de um servidor holandês protegido, sem possibilidade de ping (icmp) e que oculta o IP em algumas pesquisas por nameserver, vejamos:
Received: from carmen.reto.nl (carmen.reto.nl [94.126.33.19]) by XXXX
Ao clicar no falso formulário para mesário o usuário receberá automaticamente um arquivo (extrn URLDownloadToFileW) que será executado e permitirá o monitoramento da máquina e de transações financeiras realizadas pelo navegador.
Tal golpe mais uma vez nos induz a reflexão do avançado estágio do cybercime, explorando serviços gratuitos do exterior, que não registram logs, bem como de “short links”, para a prática de crimes, fazendo vítimas no Brasil. A cooperação deverá ser internacional e de nada adiantará Marco Civil se continuarmos a esquecer que a Internet não está adstrita ao território brasileiro.
Recomenda-se aos usuários que receberam que não abram o e-mail o excluindo imediatamente.
Dados para catálogo de perícia forense: Real image checksum do 0004A4CFh, e o Address of Entry Point 00401000
(3 votes, average: 5,00 out of 5)
Loading ...
[...] saber mais sobre o golpe e como se proteger clique aqui. [...]
Comente!