Tema: Trojan

Notificação de Multa Sem Parar / Via Fácil

O sistema Sem Parar / Via Fácil é um consórcio que possibilita o pagamento de pedágios e estacionamentos conveniados, no regime pós-pago e sem burocracia. Em pedágios, existe uma (ou mais) pista exclusiva para esse sistema, em que o motorista não precisa fazer o pagamento imediato, basta passar com o carro e o dispositivo instalado no veículo identifica e libera a cancela automaticamente.

Para que essa leitura seja feita com segurança, os veículos devem manter uma distância de 30 metros entre si, além de uma velocidade baixa, de até 40 km/h. A mensagem falsa se utiliza desses dados para enganar a vítima, informando falsamente que a empresa está multando veículos acima dessa velocidade e que existe uma multa pendente. A mensagem, como disse, é falsa.

Existe a cobrança de multa pelo Sem Parar/Via Fácil?
A emissão de multas não é uma atribuição da empresa Sem Parar/Via Fácil e sim uma exclusividade da Polícia Rodoviária.

O uso do sistema de pagamento automático de pedágios Sem Parar/Via Fácil torna as viagens por rodovias mais rápidas e confortáveis. Para garantir uma viagem tranqüila, os usuários devem respeitar as normas do Código Brasileiro de Trânsito, as placas e sinalizações dispostas nas praças de pedágio, assim como em qualquer outro ponto da rodovia.

Ao se aproximar das pistas automáticas, o motorista deve, obrigatoriamente, manter a distância mínima de 30 metros do veículo à frente, trafegar em velocidade máxima de 40 km/h e respeitar o semáforo, portanto a fiscalização e aplicação de multa sempre foi e continua sendo responsabilidade da Polícia Rodoviária.
Trecho retirado do site da empresa, seção Dúvidas.

No trecho acima, retirado do site da empresa, fica comprovado que apenas a Polícia Rodoviária pode emitir multas por excesso de velocidade nas rodovias (nos municípios pode ser a CET, por exemplo). Em todo caso, nenhuma empresa está autorizada a emitir multas de trânsito, apenas as autoridades de trânsito, e empresas de pedágio certamente não é uma delas.

Além disso, dicas básicas continuam valendo para esse tipo de e-mail:

  • Verifique o rementente. Nesse caso, veio sem um e-mail, apenas o “nome”. Pior, notificação de infração por e-mail? Por favor…
  • Dados pessoais, um outro ponto importante. Não está listado no e-mail nenhum dado do veículo ou do proprietário (você, no caso). Multas automáticas sempre vão para o proprietário do veículo, que deve indicar o condutor. Mesmo que existisse um absurdo desses, nenhuma notificação viria por e-mail e sem identificação sequer do local da infração;
  • O link, a fronteira final, digo, a prova final. O link para “visualização da multa” encaminha o usuário para um site sem relação alguma com a empresa citada. A URL é http://designersclub.pk/help/assets/blueprint-css/plugins/buttons/Redir-Vizualizar_Online.php?, ou seja, um hacker invadiu o site DesignersClub explorando a vulnerabilidade de algum plugin e plantou um arquivo .ZIP, que ao ser descompactado exibe um arquivo BO-MULTA-ID=237BT059P.cpl – um arquivo executável pelo Windows.

Segundo o site VirusTotal, o arquivo em questão é um Trojan do tipo Downloader, identificado na maior parte dos antivirus como uma variante do Win32/TrojanDownloader.Banload.

Mensagem original de “Notificação de Multa Sem Parar / Via Fácil”

Multa Sem Parar / Via Fácil - BALELA

Seu CPF apresenta novas pendências

Uma das estratégias mais utilizadas por golpistas para convencer suas vítimas a acreditar na mensagem e clicar no link malicioso, é ameaçar sua integridade financeira. Logo, emitir um aviso de problemas no SERASA ou SPC, é algo que tem grandes chances de convencimento.

As dicas para identificar a balela são muito simples e funcionam na grande maioria dos casos, perceba:

  • Verifique que no e-mail em questão, não há nenhum dado pessoal listado. Não há como garantir, com propriedade, que o e-mail tenha sido enviado para você diretamente, e não para uma lista enorme de pessoas com o mesmíssimo conteúdo;
  • Sequer o conteúdo do e-mail é editável, com possibilidade de enviar dados diferentes. Se trata de uma imagem só. Note que existe um “número de autenticação”, para dar mais credibilidade, mas é o mesmo, para todos os recipientes;
  • Dados mais sutis, como o e-mail estar sendo enviado de um domínio genérico da Experian e estar apontando o link para outro domínio, também são muito importantes. Aliás, o link é sempre o mais importante de um e-mail como esse;
  • Por fim, o resultado, ao clicar no link. O endereço final é o download de um arquivo chamado “pendencias-serasa.com” (o mesmo nome do domínio) e não faz nenhum sentido com a mensagem, que diz para clicar e consultar os tais débitos, mas no final faz download de um arquivo executável pelo Windows.
  • É sempre importante lembrar que não se deve clicar em e-mails duvidosos como esse, e principalmente, não se deve executar arquivos baixados aleatoriamente. Sempre confirme antes o remetente e a veracidade das informações nos sites ou órgãos oficiais.

O site VirusTotal identificou esse arquivo como um Cavalo de Tróia (Trojan) – Trojan-Downloader.Autoit.gen.

Abaixo a mensagem original, recebida por e-mail em 22 de maio de 2013.

Mensagem Original de “Seu CPF apresenta novas pendências”

Seu CPF apresenta novas pendências

Voce foi indicado por um cliente Globo.com (BBB10)

A mensagem abaixo simula uma indicação e com isso um convite para baixar um aplicativo e assistir aos canais de vídeo do Big Brother Brasil, da Rede Globo. O convite, no entanto, é falso – assim como toda a mensagem – e o arquivo baixado é um malware, que vai infectar o computador do usuário que acreditar nessa balela.

Como sempre, aqui vão algumas dicas para ajudar a identificar armadilhas como essa, chamadas de Phishing Scam, usando a própria mensagem como exemplo, mas não se limitando a ela. Fiquem espertos!

  • A mensagem diz vir da Rede Globo, e usa – mal e porcamente – sua marca para distrair a vítima. Porém, o e-mail é genérico, ninguém o assinou e a qualidade do tal “convite” é tão, mas tão ruim, que não dá para enganar que isso poderia ter vindo da Globo ou de qualquer empresa minimamente estabelecida no mercado. É simplesmente horrível, desde o texto mal construído, mal escrito, cheio de erros de português e falhas na codificação até a própria justificativa do serviço. Como assim se eu quiser eu posso “está assinando” (gerúndio escrito errado é ainda pior, não?) ou posso apenas continuar usando gratuitamente? Bah!
  • Quem o indicou? Qual o nome desse tal “cliente Globo.com”? E onde, em qualquer parte do e-mail, está o seu nome, para comprovar que essa mensagem foi mesmo para você? Não há sequer um indício de que esse e-mail é seu e veio de alguém conhecido. Vai acreditar?
  • Olha só, essa exige um pouquinho só de trabalho a mais: que serviço novo é esse da Globo.com? Você conhece? Foi anunciado? Achou em algum lugar do site da empresa ou do programa, uma menção ao tal download? Uma visita breve já mostra que eles vendem um “pay per view” via TV a cabo e via Internet, direto no site! Nada de download. E nada de “amostra grátis”.
  • Ok, você acreditou e clicou no link. Note que ele te manda para uma URL “http://arrastaomega.vai.la/” (hein?) e você é obrigado a baixar um arquivo “sm.com” (executável do Windows). O site VirusTotal acusa esse arquivo como Trojan, um malware que é utilizado para invadir computadores e roubar dados (senhas de banco, por exemplo).

Veja como se proteger dessas pragas e removê-las de seu computador.

Mensagem original (screenshot)

Mensagem original (texto)

De: globo@globo.com
Assunto: Voce foi indicado por um cliente Globo.com
Data: 6 de março de 2010 14:57:25 BRT

Bem vindo ao BBB10,

apartir de agora você pode assistir o bbb10 Gratis,a Globo juntamente com a Direct TV/Sky lançou um player onde voce poderá assistir sem qualquer custo durante 1 mes o Big brother brasil 10 em seu computador. Instale o nosso player e Veja cenas que so assinantes tem acesso

Como Instalar?
1º Passo – Efetue o download do setup através do botão “iniciar instalacao”
2° Passo – Efetue a instalacão
3° Passo – Abra o icone bbb10 que criara no seu computador e desfrute do bbb10

Qual custo?
Você foi indicado por um cliente globo.com sendo assim você pode assistir durante 1 mes sem nenhum custo todas as cameras do bbb disponiveis logo após esse período poderá está assinando algum de nossos pacotes ou se preferir pode continuar utilizando o bbb10 pacote grátis.

“iniciar instalação”

Mensagem recebida via e-mail em 6/03/2010

Trojan infecta blogs em forma de applet

Está rolando há algumas semanas já, mas como tenho visto voltando, achei melhor alertar por aqui e pedir que espalhem o aviso. Um applet malicioso distribui trojan como se fosse atualização do plugin Flash em blogs, principalmente, mas não exclusivamente.

Os atacantes estão usando diversas formas de fazer com que o código malicioso seja implementado nos blogs:

1. Explorando falha em blogs com versão desatualizada do WordPress

De tempos em tempos o WordPress, plataforma de blogs gratuita e muito utilizada em todo o mundo, disponibiliza atualizações de seus arquivos. Algumas dessas atualizações incluem correções de falhas de segurança. É sempre importante ficar atento e fazer os updates quando solicitado.

Nas versões mais novas do WP, isso pode ser feito em apenas 2 cliques, sem qualquer dificuldade por parte de quem utiliza o WP e não possui habilidades com servidores e procedimentos técnicos. O próprio sistema faz tudo por você, mas você precisa pedir que ele se atualize.

Na área administrativa do blog, você verá um aviso marcado em amarelo no topo da página, avisando que existe uma atualização disponí­vel e um link para atualizar. Ao clicar nesse link, uma nova tela será aberta para confirmar a atualização, basta clicar no botão “atualizar automaticamente”. Lembrando que a versão mais nova disponí­vel é a 2.9.2.

2. Distribuindo em temas gratuitos disponí­veis para download

Evite baixar temas de outros sites que não estejam no repositório de temas oficial do WordPress. Se fizer isso, pois existem vários temas Premium fora do repositório, principalmente os que não são gratuitos, sempre procure dentro do código fonte por chamadas estranhas.

O que você deve procurar:

  • Chamadas externas de qualquer natureza. Se o tema pede uma inclusão de arquivo fora do seu domí­nio, desconfie e verifique do que se trata;
  • Chamadas para arquivos Flash que não deveriam estar presentes no tema. Se você não baixou um tema com Flash, uma chamada dessas pode esconder um código malicioso.
  • Chamadas para Applets. Essa praga era usada no tempo do ronca para executar coisas que hoje fazemos com Flash, CSS ou HTML5, portanto, deixe-a relegada aos bancos e suas traquitanas de segurança. Applet é um troço que roda na máquina do usuário e, se o mesmo permitir, pode fazer leitura e gravação em disco local, uma potencial falha de segurança (e a gente sabe que o usuário permite sempre né?).
  • Links estranhos escondidos com CSS. Muitos temas podem servir para referenciar sites maliciosos, fazendo com que os backlinks para esses sites os destaquem nos mecanismos de busca. Não suporte parasitas, só dê link para o autor do tema, se não for um site-armadilha.

3. Distribuindo em plugins gratuitos disponí­veis para download

Os plugins agem no WordPress como extensão do aplicativo. Isso faz com que o comportamento do sistema possa ser comprometido e o seu blog se tornar ví­tima de golpe ou distribuidor de arquivos maliciosos. Se você não tem habilidades técnicas para verificar o código de um plugin, baixe sempre de sites confiáveis, como o próprio repositório do WordPress. Leia os comentários dos usuários sobre o plugin, a compatibilidade e se verificar algum problema, relate, é sua ajuda que faz com que o repositório se mantenha limpo. Continue lendo “Trojan infecta blogs em forma de applet”

Equipe Windows Live! Urgente Aviso de Suspensão do Serviço Windows Live

Esse phishing é facilmente detectável e portanto menos perigoso que os demais, mas vale a menção no site para evitar que os mais incautos caiam, por falta de atenção nos detalhes. Veja só as falhas cometidas pelos golpistas ao enviar esse e-mail malicioso:

  1. Primeiro, note o caráter esquizofrênico da mensagem, que apresenta no título do e-mail um “aviso de suspensão do Windows Live” e no corpo da mensagem uma “promoção” que é um “presente” ao mesmo tempo. Ué, é promoção de passagens, ou é um presente (passagem grátis) da Gol?
  2. Porcamente escrito, o texto da mensagem é confuso e contém erros de português, o que dá ainda mais a dica de que não foi enviada pela Gol, mas por algum analfabeto com vontade de faturar um troco com os desavisados.
  3. Ok, digamos que você tenha inclinação a “pagar pra ver”, mesmo não tendo seu nome em nenhum lugar da mensagem, mesmo com o remetente da mensagem sendo você mesmo (!) e o e-mail de envio seja com domínio “brasil.com” (!!). Daí você clica no tal “formulário”, que na verdade leva para um arquivo no endereço “http://www.prestacional.com/promocao_gol/codigo_gol.pdf“. O seu navegador vai pedir pra baixar um arquivo, não com extensão PDF, mas SCR (executável pelo Windows).

Segundo o site VirusTotal, o arquivo é potencialmente um trojan banker, um malware que se instala na máquina da vítima com o intuito de roubar dados sensíveis, como senhas de banco. A dica é ter um antivírus atualizado em seu computador, mas primordialmente, não confiar em links de e-mails, não baixar arquivos de fontes desconhecidas e não executar arquivos.

Mensagem original (screenshot)

Mensagem original (texto)

De: seu@email.aqui <communications_msn_cs_ptbr@atualiza.brasil.com>
Assunto: Equipe Windows Live!   Urgente Aviso de Suspensão do Serviço Windows Live
Data: 3 de fevereiro de 2010 02:56:23 BRST

Parabéns! A Gol Linhas Aéreas te presenteou com uma viagem pra qualquer lugar
do País. Pegue imediatamente o código gerado para a emissão da passagem, prazo
máximo de 24: para a espiração do código, mais informações no formulário a baixo.

http://www.voegol.com.br/promocao/voemais/formulario.html (link removido)

Mensagem recebida por e-mail em 3/2/2010