[MASOCH-L] Domínio copadomundonoingresso.com.br - possível fake

Tiago Flôres tiago at balensiefer.com.br
Wed Mar 12 14:44:18 BRT 2014 

Eduardo,

Estava olhando uma URL dentro do link (
http://www.copadomundonoingresso.com.br/cupom/passo-a-passo/) que você
enviou e executável é um Malware (Artemis!008D8520DA92), já conhecido.

Malware's:

[1]
http://www.copadomundonoingresso.com.br/pdf/GanhadorCopa2014RequerimentoPadrao.pdf.cpl
[2]
http://www.copadomundonoingresso.com.br/pdf/GanhadorCopa2014RequerimentoPadrao.zip

Realmente trata-se de mais um phishing!

[]'s


Em 12 de março de 2014 14:37, Tiago Flôres <tiago at balensiefer.com.br>escreveu:

> Eduardo,
>
> Já correram na grande rede outras tentativas de phishing utilizando o
> pretexto do "Sorteio dos ingressos para os jogos da Copa do Mundo", como
> este abaixo:
>
> *De:* sorteado at fifa2014.com.br [mailto:sorteado at fifa2014.com.br<sorteado at fifa2014.com.br>]
>
> *Enviada em:* segunda-feira, 4 de novembro de 2013 06:22
> *Para:* xxxx
> *Assunto:* Você ganhou um par de ingressos FIFA 2014.
>
>
>
> [image: Copa do Mundo FIFA BRASIL 2014]
>  ------------------------------
>
> Parabéns,xxxx*!*
>
> Você foi o ganhador de um par de ingressos para *Copa do Mundo FIFA
> Brasil 2014*!
>
> Imprima o seu e-Ticket e dirija-se até o Centro de Ingressos de sua cidade
> para recebe-lo.
>
> *Imprimir Ticket <http://esteticaedgars.com/imprimir.asp?idCOD=0041412253>*
>
>
> Confira os endereços dos Centros de Ingressos aqui<http://pt.fifa.com/confederationscup/organisation/ticketing/ticket-information/ticket-collection/index.html>.
>
>    ------------------------------
>
>
>
>
> Neste caso acima, o hyperlink "Imprimir Ticket", direcionava para uma URL
> [1], que redirecionava para outra URL [2] contendo um arquivo executável.
>
> As URL's eram:
>
>
> [1] http://esteticaedgars.com/imprimir.asp?idCOD=0041412253
>
>
>
> [2] http://omegabaterias.com.br/E-Ticket-SorteadoFIFA-2014.exe
>
>
>
>
>
> O arquivo PE "E-Ticket-SorteadoFIFA-2014.exe" (hash MD5:
> d5ac4a46fe1c55f3c79cecb2ce78ae57) foi testado contra algumas bases de
> antivírus que o reconheceram como:
>
>
>
> AhnLab-V3         Trojan/Win32.Banbra
>
> Avast                    AutoIt:ProxyBancos-G [Trj]
>
> ESET-NOD32      a variant of Win32/ProxyChanger.LV
>
> Kaspersky           Trojan-Banker.Win32.Banbra.bbyq
>
> McAfee               Artemis!D5AC4A46FE1C
>
> TrendMicro        TROJ_GEN.F47V1105
>
>
>
>
> O canal oficial para compra de tickets para o evento é:
> http://www.FIFA.com/tickets
>
>
>
> Este que você recebeu deve ser mais um caso. Caberia analisar e reportar
> ao CERT.
>
>
>
> []'s
>
>
> Tiago
>
>
>
>
> Em 12 de março de 2014 14:08, Eduardo Santos Back <eduardo at sinos.net>escreveu:
>
> Amigos, recebemos um e-mail conforme abaixo e, achando muito estranho,
>> fomos atrás da fonte. Os dados do destinatário estavam todos corretos,
>> incluindo CPF, RG, nome da mãe, endereço, enfim, tudo correto. Ele nunca se
>> cadastrou para participar de tal sorteio mas ok, poderia ter sido sorteado
>> em função de ser cliente de algum destes serviços. Indo no link
>> http://www.copadomundonoingresso.com.br/cupom/passo-a-passo/, existe a
>> necessidade de baixar e preencher um formulário. A extensão do formulário?
>>  CPL. Ou seja, problemas. O domínio foi registrado no último domingo,
>> conforme o NIC. Fica a dica.
>>
>> % Copyright (c) Nic.br
>> %  A utilização dos dados abaixo é permitida somente conforme
>> %  descrito no Termo de Uso (http://registro.br/termo), sendo
>> %  proibida a sua distribuição, comercialização ou reprodução,
>> %  em particular para fins publicitários ou propósitos
>> %  similares.
>> %  2014-03-12 13:52:18 (BRT -03:00)
>>
>> titular:       ROBERTO SEBASTIAN ZEBALLOS
>> documento:     033.285.238-55
>> país:          BR
>> c-titular:     ROSZE9
>> criado:        10/03/2014
>> alterado:      10/03/2014
>>
>> Contato (ID):  ROSZE9
>> nome:          ROBERTO SEBASTIAN ZEBALLOS
>> e-mail:        edimilson.escorpiao at ig.com.br
>> criado:        10/03/2014
>> alterado:      10/03/2014
>>
>> domínio:copadomundoingresso.com.br  <https://registro.br/cgi-bin/
>> whois/?qr=copadomundoingresso.com.br&#lresp>
>> domínio:copadomundonoingresso.com.br  <https://registro.br/cgi-bin/
>> whois/?qr=copadomundonoingresso.com.br&#lresp>
>> domínio:emailingresso.com.br  <https://registro.br/cgi-bin/
>> whois/?qr=emailingresso.com.br&#lresp>
>>
>>
>>
>> []´s
>>
>> Atenciosamente,
>>
>> Prof. Ms Eduardo Santos Back
>> Coordenador Curso Superior de Tecnologia em Redes de Computadores -
>> Faculdade IENH
>> eduardo.b at ienh.com.br <mailto:eduardo.b at ienh.com.br>
>> (51) 3594-3022
>> www.ienh.com.br <http://www.ienh.com.br>
>> Facebook: www.facebook.com/IENHOficial <http://www.facebook.com/
>> IENHOficial>
>> Twitter: www.twitter.com/ienh_oficial <http://www.twitter.com/ienh_
>> oficial>
>>
>> *De:*Ingresso.com xxx
>> *Enviada em:* terça-feira, 11 de março de 2014 21:16
>> *Para:* xxx
>> *Assunto:* Olá, XXX! Ingresso.com lhe presenteou para Copa do Mundo 2014!
>>
>> Logotipo site ingresso.com
>>
>>
>>
>> Logotipo Fifa World Cup 2k14
>>
>> Caro *XXXX*.
>>
>> *Nome completo: XXX**
>> *Data nascimento: 999*
>> *CPF: 999 RG: 999*
>> *Nome da Mãe: XXX
>> **Sexo: X*
>> *Endereco: XXX**
>>
>> Meu nome é XXX, sou responsável pela central de relacionamento da
>> Ingresso.com. Nós ficamos bastante felizes por lhe ter como cliente há
>> bastante tempo!
>>
>> *Pensando em todos vocês, fizemos um sorteio com todos nossos clientes e
>> seu cadastro foi um dos ganhadores de um par de ingressos para um jogo do
>> Brasil na Copa do Mundo 2014.*
>>
>> Seu código de cupom é: "XXXXXXX", caso queira efetivar a ativação do
>> cupom, preciso por gentileza que preencha o formulário disponível na página
>> no final da mensagem, com os seus dados de cadastro abaixo (exatamente
>> igual) e também escolhendo o local e dia que irá assistir o jogo do Brasil.
>>
>> Siga o passo-a-passo na página do Ingresso.com a seguir:
>> http://www.copadomundonoingresso.com.br/cupom/passo-a-passo/
>>
>> Quando finalizar o preenchimento, responda o e-mail para mim com o
>> formulário preenchido anexado.
>>
>> Muito obrigado em nome da equipe Ingresso.com!
>>
>> Cordialmente,
>> XXX
>> FON
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
>
>
> --
>
> -----BEGIN PGP 2048-BIT RSA FINGERPRINT-----
>
> 3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F
>
> -----END PGP 2048-BIT RSA FINGERPRINT-----
>
>


-- 

-----BEGIN PGP 2048-BIT RSA FINGERPRINT-----

3C:B8:8F:AE:14:93:C9:56:28:F8:27:5E:B2:C1:A2:9B:28:6D:06:0F

-----END PGP 2048-BIT RSA FINGERPRINT-----

More information about the masoch-l mailing list