Spam promete imagens de avião da Air France

SÃO PAULO – Crackers estão usando a curiosidade em torno do acidente com o voo 447 da Air France para disseminar malware.

A ameaça chega numa mensagem cuja linha de assunto é “Air France Flight 447 (crash pictures)”. O texto diz que nos arquivos anexos, duas apresentações do PowerPoint  – 447(a).ppt e 447(b).ppt –, estão fotos do desastre que teriam sido feitas por um passageiro e encontradas no cartão de memória de uma câmera.

Os anexos são arquivos .ppt especialmente preparados para explorar uma vulnerabilidade crítica corrigida pelo boletim de segurança MS09-017 da Microsoft, de 12/5/2009. A brecha permite a execução remota de código na máquina invadida.

Conforme a Trend Micro, os arquivos PowerPoint contêm o cavalo de troia Troj_Apptom.C, que depois baixa para a máquina outro invasor, o Troj_Inject.AIO. Esse último abre uma janela do IE e se conecta a uma URL para fazer o download de outros arquivos maliciosos.

A exploração do acidente da Air France também já se encontra no Brasil. Nesta quinta-feira, chegou à redação da INFO uma mensagem de spam com o assunto: “Vídeo exclusivo das buscas do Avião Air France do Voo 447!!” (sic).

O corpo da mensagem diz: “Imagens inéditas feitas hoje 17/06/2009 por um soldado da Marinha Brasileira, retirando quatro corpos do mar, os corpos estavão (sic) em estado de decomposição e todos mutilados”. Segue-se um link cujo texto é: “Video corpos mutilados do Air France 447.Avi (150,5 KB).

O link aponta para o domínio Metasale.net, um site escrito em alemão supostamente dedicado à atividade de leilões online. O arquivo .avi é na verdade um código PHP. Se o site corresponde a um domínio legítimo, certamente foi invadido e está sendo usado por crackers.

Seja o primeiro a comentar esta notícia

comentar