Pesquisa de Ameaças

As novas fraudes via email: "Alerta de Segurança!!!"

Lisandro Carmona de Souza, 24 Junho 2016

Um "engraçaso" falso alerta de email do Avast tenta roubar o endereço de email da vítima e levá-la a várias páginas com malwares.

Falsos emails se parecem com alertas do Avast sobre 5 vírus perigosos

Adivinhe quem os hackers fingiram ser em uma recente campanha de phishing? É isto mesmo, ao Avast! Um falso e "divertido" alerta do Avast por email tentava roubar endereços de email e senhas enviando um spam que conduzia as vítimas a um formulário como este:

email_small.png

Spam que se parece ao Avast e é enviado em uma campanha de fraudes

O email mostra o link como hxxp://scan.avast.com/, mas, na verdade, este falso link envia diretamente a vários endereços dos hackers (www.hacked-domain.com/index.php?email=victims_email) onde um simples arquivo PHP informa que a sua caixa de entrada contém vírus. Há inclusiva uma lista com alguns nomes de arquivos e o local onde estão.

sourcespng.png

O arquivo PHP é realmente muito simples, com apenas uma foto e um arquivo JavaScript

Algumas partes do código PHP do arquivo contém a função escape(). Ao decodificar estas partes, vemos os códigos CSS e HTML. Um arquivo JavaScript serve simplesmente para retardar o alerta: "Ele finalmente chegou!".

Há também uma parte significativa do código deste formulário ­– <form method="post" action="post.php"> e post.php, onde toda a "mágica" acontece. Depois que você clica em "Escanear email", o seguinte formulário aparece.pass.png

Primeira tentativa de obter a senha

Depois que uma senha é digitada no formulário, a vítima é automaticamente direcionada para outro arquivo HTML. Este dispara uma mensagem de erro dizendo que o usuário digitou incorretamente os seus dados.

error.ong.png

Mensagem de erro


sourcespng2.png

Recursos do arquivo error.html

O objetivo de todos estes alertas falsos é ganhar a confiança da vítima, mas tudo conduz a este formulário onde a vítima fornece o seu email e senha. Esta é uma típica tática dos cibercriminosos.

Quando as suas credenciais são digitadas, a função post.php é chamada novamente e a mesma mensagem de alerta é mostrada novamente. Aqui a vítima pode repetir novamente o processo.

deobfuscated.png

Função escape()

Como posso me proteger contra estas fraudes?

  • Proteja-se com um antivírus com bloqueio de phishing e spam. O Avast Internet Security, um dos nossos produtos premium vem com esta proteção.
  • Cuidado com emails não oficiais: quando um email é enviado de um endereço não oficial, você pode ter certeza de que é uma tentativa de fraude ou spam.
  • Preste atenção ao endereço da página de login: a primeira coisa a reparar é onde está localizado o site de login. Neste exemplo, a primeira luz vermelha é o domínio do site que, obviamente, não pertence ao Avast. Infelizmente, não existe um protocolo de segurança padrão para os processos de login, o que exige uma especial atenção ao fornecer dados de login em um site.
  • Desconfie de qualquer "ação urgente" que for necessária: os hackers incluem mensagens pedindo uma "ação urgente" para fazer as vítimas reagir sem pensar, rapidamente.
  • Não se deixe levar pelas ameaças: cuidado com emails que tragam mensagens como "a sua conta será fechada" ou "a sua conta foi comprometida". Neses casos, tome muito cuidado ao responder ou simplesmente não responda nada. Os hackers se aproveitam desta preocupação para levar as vítimas a fornecer informações confidenciais.
  • Links verdadeiros nem sempre significam segurança: os hackers também tentam utilizar links verdadeiros em campanhas de phishing. Estes links verdadeiros aparecem misturados com outros falsos para fazer com que o site falso pareça ainda mais real.
  • O demônio está nos detalhes: as pequenas coisas, como os erros de digitação, ortografia e gramática, as figuras ruins, tudo isto pode indicar que uma mensagem ou site é falso e/ou malicioso. Tenha sempre muito cuidado ao navegar pela internet.