Recebi nesta semana mais um golpe virtual interessante. Vale a pena conferir.

O criminoso utiliza uma técnica bem peculiar. Ele envia uma mensagem fingindo ser algum conhecido chamado Marcelo Lara. Acredito que em média 90% das pessoas conhece ou já conheceu algum Marcelo durante sua vida. Agora, vai dizer que você sabe o sobrenome de todos seus amigos ‘Marcelos’?

Assunto: Transferencia Efetuada com Sucesso.
De: marcelo-lara@ibest.com.br
Para: XXXXXX@gmail.com

Comprovante de Transferencia – N° 12909120

Comprovante(s) em Anexo(s) : [[Transferencia-12909120]]

O dinheiro já foi transferido para sua conta e já deve ter sido compensado.
Segue na mensagem o comprovante de transferência interbancária com os
dados e valor, desculpe o transtorno.

Já comentei em outras postagens que, para detectar um link com código malicioso, bastava passar o mouse sob o link e verificar se o mesmo aponta algum arquivo ‘.exe’, ‘.com’, ‘.scr’ etc, no entanto, este atacante utiliza o recurso de URLs reduzidas.

Ao passar o mouse sob [[Transferencia-12909120]], o link indicado aponta para o endereço de Internet reduzido. http://bit.ly/lvXXX. Portanto, você deve estar se perguntando como é que descobre-se que este link é uma referência para um programa de código malicioso?

Pois bem, o bit.ly oferece um recurso para visualizar as informações deste link. Então, para descobrir o que está escondido aqui, basta adicionar /info. Exemplo:

http://bit.ly/info/lvXXX

Eu mudei o link para que os curiosos NÃO executem o programa de código malicioso (trojan/worm/whatever). Vejam a quantidade de pessoas que já clicaram neste link, 5,678. A imagem abaixo ilustra o exemplo citado.

Agora imaginem que deste montante, 5.678, apenas 2 mil tenham instalado esse programa? Sem utilizar técnicas mirabolantes, vocês podem através do comando hexdump -C no linux obter seguinte resultado:

00004f40 48 5d 00 00 00 00 00 00 00 00 47 65 74 4b 65 79 |H]……..GetKey|
00004f50 62 6f 61 72 64 54 79 70 65 00 00 00 6b 65 72 6e |boardType…kern|
00004f60 65 6c 33 32 2e 64 6c 6c 00 00 00 00 74 5d 00 00 |el32.dll….t]..|

O hexdump apresenta um resultado tanto em hexadecimal quanto uma saída em TXT. Percebam que no resultado acima, o texto GetKeyboardType é destacado. Mas, o que isto quer dizer?

Segundo o site da Microsoft , esta função captura as teclas digitadas no teclado do seu computador. Não entendeu ainda? Este programa está armazenando tudo o que você digita no seu teclado como senhas de bancos, usuário de e-mail etc. Ou seja, é um famoso KeyLogger. Só isso? Não, ainda tem mais:

000050c0 78 00 00 00 63 6f 6d 63 74 6c 33 32 2e 64 6c 6c |x…comctl32.dll|
000050d0 00 00 00 00 dc 5e 00 00 00 00 00 00 00 00 5f 54 |…..^…….._T|
000050e0 72 61 63 6b 4d 6f 75 73 65 45 76 65 6e 74 00 00 |rackMouseEvent..|
000050f0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 03 00 |…………….|

Este trecho indica outra função importante, _TrackMouseEvent. Isto é, esta função acompanha os movimentos do seu mouse.

Vejam que coisa interessante. Por que será que um atacante precisa de armazenar o que você digita e acompanha o movimento do mouse? Uma resposta simples, talvez, Talvez capturar senhas do Banco do Brasil, Bradesco, Caixa entre outros que oferecem o teclado virtual.

O Firefox oferece um plugin para você descobrir o que existe por trás dessas URL reduzidas: https://addons.mozilla.org/en-US/firefox/addon/10297.

Resumindo, se você instalou este programa, procure uma ajuda de um técnico. Certamente uma solução para o problema seria a formatação completa do Sistema Operacional (minha didática :) ).

Tenha muito cuidado, não seja um clicador compulsivo e não abra e-mails de desconhecidos.

Boa sorte.

2 thoughts on “Novo golpe Virtual

  1. nem sei direito como vim parar no seu blog, mas sei que eu favoritei ele faz algum tempo hehehe seus posts são mt interessantes.

    fugindo do assunto do tópico, vi vários dos seus posts, e percebi que vc utilizava o slackware e passou para o debian… por que vc optou por essa mudança??

  2. Oi Paulo,

    Obrigado pela visita no blog.

    Utilizei o Slackware entre +/-1998 até 200[4|5]. Certos momentos até gostava do Redhat, mas o Slackware era a distro que vinha em primeiro lugar na minha mente.

    No entanto, não gostava, talvez isso tenha mudado hoje, da forma de como o Patrick coordenava a distro. Conheci o Gnome por causa do Slack, depois que o mantenedor oficial resolveu tirar o suporte do Gnome, fiquei put*, achei uma decisão unilateral, além de outras direções que ele tomou na época.

    Sabia das iniciativas do Gnome para o Slack como o Slackbuild e dropline, mas não gostava de baixar N pacotes adicionais para ter um Desktop Livre :). O CD1 e CD2 já estavam de bom tamanho.

    Com o tempo, fui aderindo ainda mais as ideologias do SL e quando conheci o Debian [200[2|3], estudei seu Contrato Social, o gerenciador de pacotes que, na época, achava que era coisa de preguiçoso :), manuais do sistema, comunidades, Wikis etc.

    Fiquei impressionado pela qualidade e compromisso assumido quanto à liberdade dos seus usuários. Isto foi um ponto crucial na escolha do Debian.

    A questão do estável, instável, tenho que admitir, foi um pouco confusa na época.

    Muito do Linux que sei hoje, devo ao Slackware, mas percebi que não importa a Distro utilizada, o sistema continua o mesmo.

    Para mim, o Debian GNU/Linux é a distro que mais contempla as minhas necessidades: Liberdade, respeito, segurança, estabilidade, portabilidade e finalmente, diversidade de pacotes.

    Antigamente gostava de entrar numa DistroWar, mas hoje, vejo que a diversidade é um ponto positivo ao movimento do SL.

    Boa Sorte

Comments are closed.