[MASOCH-L] Domínio copadomundonoingresso.com.br - possível fake

Tiago Flôres tiago at balensiefer.com.br
Wed Mar 12 14:37:31 BRT 2014 

Eduardo,

Já correram na grande rede outras tentativas de phishing utilizando o
pretexto do "Sorteio dos ingressos para os jogos da Copa do Mundo", como
este abaixo:

*De:* sorteado at fifa2014.com.br
[mailto:sorteado at fifa2014.com.br<sorteado at fifa2014.com.br>]

*Enviada em:* segunda-feira, 4 de novembro de 2013 06:22
*Para:* xxxx
*Assunto:* Você ganhou um par de ingressos FIFA 2014.



[image: Copa do Mundo FIFA BRASIL 2014]
 ------------------------------

Parabéns,xxxx*!*

Você foi o ganhador de um par de ingressos para *Copa do Mundo FIFA Brasil
2014*!

Imprima o seu e-Ticket e dirija-se até o Centro de Ingressos de sua cidade
para recebe-lo.

*Imprimir Ticket <http://esteticaedgars.com/imprimir.asp?idCOD=0041412253>*


Confira os endereços dos Centros de Ingressos
aqui<http://pt.fifa.com/confederationscup/organisation/ticketing/ticket-information/ticket-collection/index.html>.

   ------------------------------




Neste caso acima, o hyperlink "Imprimir Ticket", direcionava para uma URL
[1], que redirecionava para outra URL [2] contendo um arquivo executável.

As URL's eram:


[1] http://esteticaedgars.com/imprimir.asp?idCOD=0041412253



[2] http://omegabaterias.com.br/E-Ticket-SorteadoFIFA-2014.exe





O arquivo PE "E-Ticket-SorteadoFIFA-2014.exe" (hash MD5:
d5ac4a46fe1c55f3c79cecb2ce78ae57) foi testado contra algumas bases de
antivírus que o reconheceram como:



AhnLab-V3         Trojan/Win32.Banbra

Avast                    AutoIt:ProxyBancos-G [Trj]

ESET-NOD32      a variant of Win32/ProxyChanger.LV

Kaspersky           Trojan-Banker.Win32.Banbra.bbyq

McAfee               Artemis!D5AC4A46FE1C

TrendMicro        TROJ_GEN.F47V1105




O canal oficial para compra de tickets para o evento é:
http://www.FIFA.com/tickets



Este que você recebeu deve ser mais um caso. Caberia analisar e reportar ao
CERT.



[]'s


Tiago




Em 12 de março de 2014 14:08, Eduardo Santos Back <eduardo at sinos.net>escreveu:

> Amigos, recebemos um e-mail conforme abaixo e, achando muito estranho,
> fomos atrás da fonte. Os dados do destinatário estavam todos corretos,
> incluindo CPF, RG, nome da mãe, endereço, enfim, tudo correto. Ele nunca se
> cadastrou para participar de tal sorteio mas ok, poderia ter sido sorteado
> em função de ser cliente de algum destes serviços. Indo no link
> http://www.copadomundonoingresso.com.br/cupom/passo-a-passo/, existe a
> necessidade de baixar e preencher um formulário. A extensão do formulário?
>  CPL. Ou seja, problemas. O domínio foi registrado no último domingo,
> conforme o NIC. Fica a dica.
>
> % Copyright (c) Nic.br
> %  A utilização dos dados abaixo é permitida somente conforme
> %  descrito no Termo de Uso (http://registro.br/termo), sendo
> %  proibida a sua distribuição, comercialização ou reprodução,
> %  em particular para fins publicitários ou propósitos
> %  similares.
> %  2014-03-12 13:52:18 (BRT -03:00)
>
> titular:       ROBERTO SEBASTIAN ZEBALLOS
> documento:     033.285.238-55
> país:          BR
> c-titular:     ROSZE9
> criado:        10/03/2014
> alterado:      10/03/2014
>
> Contato (ID):  ROSZE9
> nome:          ROBERTO SEBASTIAN ZEBALLOS
> e-mail:        edimilson.escorpiao at ig.com.br
> criado:        10/03/2014
> alterado:      10/03/2014
>
> domínio:copadomundoingresso.com.br  <https://registro.br/cgi-bin/
> whois/?qr=copadomundoingresso.com.br&#lresp>
> domínio:copadomundonoingresso.com.br  <https://registro.br/cgi-bin/
> whois/?qr=copadomundonoingresso.com.br&#lresp>
> domínio:emailingresso.com.br  <https://registro.br/cgi-bin/
> whois/?qr=emailingresso.com.br&#lresp>
>
>
>
> []´s
>
> Atenciosamente,
>
> Prof. Ms Eduardo Santos Back
> Coordenador Curso Superior de Tecnologia em Redes de Computadores -
> Faculdade IENH
> eduardo.b at ienh.com.br <mailto:eduardo.b at ienh.com.br>
> (51) 3594-3022
> www.ienh.com.br <http://www.ienh.com.br>
> Facebook: www.facebook.com/IENHOficial <http://www.facebook.com/
> IENHOficial>
> Twitter: www.twitter.com/ienh_oficial <http://www.twitter.com/ienh_oficial
> >
>
> *De:*Ingresso.com xxx
> *Enviada em:* terça-feira, 11 de março de 2014 21:16
> *Para:* xxx
> *Assunto:* Olá, XXX! Ingresso.com lhe presenteou para Copa do Mundo 2014!
>
> Logotipo site ingresso.com
>
>
>
> Logotipo Fifa World Cup 2k14
>
> Caro *XXXX*.
>
> *Nome completo: XXX**
> *Data nascimento: 999*
> *CPF: 999 RG: 999*
> *Nome da Mãe: XXX
> **Sexo: X*
> *Endereco: XXX**
>
> Meu nome é XXX, sou responsável pela central de relacionamento da
> Ingresso.com. Nós ficamos bastante felizes por lhe ter como cliente há
> bastante tempo!
>
> *Pensando em todos vocês, fizemos um sorteio com todos nossos clientes e
> seu cadastro foi um dos ganhadores de um par de ingressos para um jogo do
> Brasil na Copa do Mundo 2014.*
>
> Seu código de cupom é: "XXXXXXX", caso queira efetivar a ativação do
> cupom, preciso por gentileza que preencha o formulário disponível na página
> no final da mensagem, com os seus dados de cadastro abaixo (exatamente
> igual) e também escolhendo o local e dia que irá assistir o jogo do Brasil.
>
> Siga o passo-a-passo na página do Ingresso.com a seguir:
> http://www.copadomundonoingresso.com.br/cupom/passo-a-passo/
>
> Quando finalizar o preenchimento, responda o e-mail para mim com o
> formulário preenchido anexado.
>
> Muito obrigado em nome da equipe Ingresso.com!
>
> Cordialmente,
> XXX
> FON
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>



-- 

-----BEGIN PGP 2048-BIT RSA FINGERPRINT-----

3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F

-----END PGP 2048-BIT RSA FINGERPRINT-----

More information about the masoch-l mailing list