Golpe Virtual da Caixa passa a circular esta semana

Por José Antonio Milagre

Data de Publicação: 25 de Agosto de 2009

Mais um Golpe de Phishing Scam passou a circular na manhã desta terça-feira (25 de agosto de 2009) na Internet. Por meio dele, o usuário recebe um e-mail aparentemente de "CAIXA", com o assunto "Componente Atualizado Caixa", com um texto que certamente foi revisto por um professor de português (ao contrário de muitos que circulam onde percebe-se claramente que o atacante peca em sua gramática):

Your browser may not support display of this image.

Ao analisarmos as propriedades do E-mail verificamos na verdade que se trata de um e-mail "caixa@rec.org", o que por si já é suficiente para constatar a fraude. Ao analisarmos o header (cabeçalho do e-mail), nota-se que os criminosos utilizam o serviço "privatedns", com Ips alocados fora do Brasil:

Return-path: <nobody@cl-t030-521cl.privatedns.com>
Envelope-to: jose.milagre@legaltech.com.br
Delivery-date: Tue, 25 Aug 2009 10:37:39 -0300
Received: from ip-67-205-74-71.static.privatedns.com ([67.205.74.71] helo=cl-t030-521cl.privatedns.com)
by servidor1.aquaticbrasil.com.br with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.69)
(envelope-from <nobody@cl-t030-521cl.privatedns.com>)
id 1MfwDT-0005Mx-0o
for jose.milagre@legaltech.com.br; Tue, 25 Aug 2009 10:37:39 -0300
Received: from nobody by cl-t030-521cl.privatedns.com with local (Exim 4.69)
(envelope-from <nobody@cl-t030-521cl.privatedns.com>)
id 1MfwD9-0001aJ-Cu
for jose.milagre@legaltech.com.br; Tue, 25 Aug 2009 18:37:19 +0500
To: jose.milagre@legaltech.com.br
Subject: Componente Atualizado CAIXA.
From: CAIXA <caixa@rec.org>
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
Content-Transfer-encoding: 8bit
Reply-To: CAIXA <caixa@rec.org>
Message-ID: <58c06cb77ac55bbefb37935af65fb136@rec.org>
X-Priority: 3
X-MSmail-Priority: High
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
X-Mailer: iGMail [www.ig.com.br]
X-Originating-Email: [CAIXA]
X-Sender: CAIXA
X-Originating-IP: [201.201.120.121]
X-iGspam-global: Unsure, spamicity=0.570081 ? pe=5.74e-01 ? pf=0.574081 ? pg=0.574081
Date: Tue, 25 Aug 2009 18:37:19 +0500
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname ? cl-t030-521cl.privatedns.com
X-AntiAbuse: Original Domain ? legaltech.com.br
X-AntiAbuse: Originator/Caller UID/GID ? [99 99] / [47 12]
X-AntiAbuse: Sender Address Domain ? cl-t030-521cl.privatedns.com

Interessante que na falsa identidade, o criminoso tem o cuidado de utilizar imagens que realmente são do site do Banco. Veja, com trechos do código html:

<tr>

<td style="text-align: left; background-color: rgb(0, 0, 153);"><img

src="http://www.caixa.gov.br/_newimages/icaixa/header_caixa.jpg"

  alt="cef" style="" /><img style="width: 141px; height: 57px;" alt="bank"

  src="http://www.caixa.gov.br/_newimages/icaixa/O_banco_que_acredita.jpg" /></td>

</tr>

Então verificamos o link onde o suposto arquivo é baixado:

http://213.42.201.62/conn3.asp?http://www.caixa.gov.br/Modulo?card_id=3948298d8v9y589498veimv4y45r9er8v13

Note que o falsário usa o site da caixa como "querystring", apenas para iludir a rápida investida visual de um usuário menos atento.

Ao clicarmos no Link somos direcionados a um arquivo chamado "CAIXA.exe". Este arquivo, testado em nosso laboratório, instala um código kernel mode que prejudica o acesso ao site da maioria dos bancos brasileiros, capturado dados digitados, teclado virtual e os remetendo via ftp para o criminoso. (Embora o código também tenha função para envio de e-mail).

Se recebeu este e-mail, não o execute, apague imediatamente. Se já executou, desconecte a máquina da Rede e procure um especialista.