Falso e-mail do WhatsApp continua infectando computadores

E-mails falsos atribuídos ao Whatsapp ainda oferecem riscos aos usuários de computador mais desatentos. Trata-se de mais uma das muitas tentativas de Phishing que circulam pela Internet. A extensão do malware é conhecida da maioria dos programas de segurança digital, porém, como é distribuído em formato .ZIP, pode passar facilmente pelas barreiras de proteção de programas antivírus e acabar instalado no seu computador. Acionando o modo de proteção ‘Segurança’ do PSafe Total, você estende o scan por vírus e malware a arquivos compactados (zip) e garante que o malware jamais seja baixado no computador, mantendo a sua privacidade e impedindo a contaminação da máquina.

Nesta semana, recebemos um e-mail de um usuário para análise no labs@psafe.com, canal de interação com o público geral para avaliação de ameaças virtuais, e comprovamos que o malware continua circulando e causando prejuízo a vítimas brasileiras.

Veja abaixo o e-mail recebido e, na sequência, a análise do departamento técnico da PSafe Tecnologia.

No caso, trata-se de um cliente de e-mail do Yahoo. A proteção antivírus do servidor de e-mail bloqueou parte da mensagem, mas isso não impediu que curiosidade e falta de conhecimento acabassem expondo o equipamento do usuário a infecção pelo malware.

Para aumentar as chances de sucesso, os golpistas simulam a garantia de segurança da mensagem de e-mail. Neste caso a Avast, com link verdadeiro para o site da empresa, passando uma falsa sensação de proteção.

Ao habilitar ‘Exibir imagens’, o usuário podia acessar o link falso para ouvir a suposta mensagem de voz no Whatsapp. Usuários ativos do APP sabem que o serviço não faz contato por e-mail, mas quando se trata de um novo usuário novo, caso do nosso leitor, representa graves riscos de privacidade e segurança de dados e comprometimento de informações dos internautas.

Você que já leu aqui no Blog sobre Phishing, sabe que os primeiros cuidados a serem tomados são: verificar a identidade do remetente e procurar por erros gramaticais. Neste caso, ao passar o mouse sobre o endereço de envio, vemos uma conta Hotmail, serviço gratuito e provavelmente não utilizado pelo Whatsapp. Outro fato que chama atenção é a palavra ‘Menssenger’ no lugar da grafia correta ‘Messenger’, assim como a o nome WhatsApp, sem o ‘A’ maiúsculo, fugindo ao padrão da empresa.

E, quem está acostumado com o Yahoo, desconfia da garantia de segurança ser da Avast, quando o Yahoo tem parceria com a Norton, que neste caso não pegou a ameaça.

E se mesmo assim o usuário resolver continuar para ouvir a mensagem?

Ao clicar no local informado abaixo, o usuário é direcionado para o seguinte link: “https://64.186.146.47/Mensagem_WhatsApp_Mhz71.html”.

Este link realiza o download do arquivo 904820934.zip. Dentro deste zip, encontramos o arquivo Menssenger-0319238.cpl, que ao ser executado gera outros 2 zips que extraem automaticamente os arquivos Administrador2.exe  e Administrador1.exe.

Estes arquivos são potencialmente perigosos para o computador, já que eles podem alterar varias configurações do Windows, além de fazer download de outros malwares.

PSafe Total detecta a ameaça de duas formas: analisando a URL e também verificando o arquivo compactado

Para quem já possui o PSafe Total instalado no computador, a ameaça não representa mais perigo, já que, ao clicar no link, por análise da URL, o sistema antiphishing do programa emite aviso de endereço perigoso, alertando o usuário para o risco na barra de endereços, impedindo a continuidade da ação.

Ameaça está catalogada na blacklist do programa

Todos os arquivos, desde o primeiro 904820934.zip, fazem parte da backlist da PSafe, o que impede que os demais malwares possam ser espalhados pela máquina do usuário.

Entenda como age este Phishing

Ao clicar no link ele faz o download do arquivo abaixo:

E, ao extrair o zip é exibido o arquivo abaixo:

Que, quando executado, extrai e executa outros arquivos:

Que, quando executado, extrai e executa outros arquivos:

Estes arquivos por sua vez são extremamente prejudiciais ao computador, podendo fazer download de novos malwares capazes de obter e roubar informações do usuário.