Os produtos da Microsoft, na área de multimídia e comunicação pessoal sempre são um bom chamariz, pois a maioria dos usuário se sente ávido por utilizá-los.
Como a empresa tem como foco o usuário e boas soluções para o mesmo, estes golpistas utilizaram uma interface muito bem construída, e ainda, personalizando com o nome do usuário. O meu colega de sala que me remeteu este scam, recebeu-o personalizado com seu nome, do tipo, “Olá Ataliba Experimente o Msn 8.0”.
O usuário desavisado, na hora iria fazer o download do aplicativo. Como na maioria das vezes, os aplicativos da Microsoft hoje tem seu download feito na hora da instalação ( você baixa um instalador e os arquivos necessários são todos baixados do site do fabricante ), o usuário acaba não se sentindo ameaçado pelo pequeno tamanho do executável.
Aí, assim que executar, foi pego pelo golpe.
Friamente, é uma boa peça de engenharia social. Trabalha fazendo a pessoa se sentir especial, pela Microsoft a escolhendo como um dos primeiros usuários a testar o programa.
Bonita ou não, a mensagem é um Scam, e mostra o quanto quem controi Phishing Scams está se preocupando mais com a construção de emails bonitos e sem erros de grafia no português ( um dos modos mais fáceis de se achar um golpe de scam … se bem que um grande problema num país onde a língua mãe não é tão conhecida por todos … ) .
Msn80.exe : Como dito, foi um dos scams mais bem construídos recebidos até agora. Até na escolha do link os golpistas foram felizes. Uma peça de engenharia social, que tem seu mérito, pela criatividade de quem a fez.
Mas, com um pouco de bom senso o usuário nota que algo de errado está acontecendo. Primeiramente, uma empresa como a Microsoft só manda convites de testes de seus softwares para empresas ou certificados. Ou seja, somente se você é um certificado pela empresa vai receber este tipo de convite.
Se você é um simples usuário, não faz sentido lhe convidar, pois você não vai conseguir fornecer dados para a empresa do funcionamento do software e pior, ainda iria ficar reclamando que ele não funciona bem. Isto geraria transtornos para a Microsoft, que teria seus testes atrasados e ao usuário, pelo mal funcionamento do seu computador.
Assim, levando-se em conta estes dados, de cara a pessoa já iria ver que é um golpe de internet. Mas, normalmente, um usuário não tem estas informações e animadamente iria baixar o arquivo Msn80.exe .
Aí que veio o ponto interessante da história. O local onde o arquivo está localizado é http://www.gratisweb.com/novomsn/msn8.0/restrito/Microsoft/Msn80.exe.
O golpe foi inteligente, pois existe um site que hospeda softwares para serem baixados gratuitamente, de nome Gratis. A única diferença é que tal site tem o domínio http://www.gratis.com.br. Numa primeira olhada, o usuário simplesmente iria baixar, achando estar baixando deste site, quando no fim, este domínio não é ligado ao citado Gratis, pois é um site voltado para criação de sites pessoais.
Aí, o arquivo Msn80.exe foi baixado para a famosa inspeção. Era de se esperar que iriamos achar após todas estas análises um golpe qualquer.
No site WebImmune da Mcaffee, foi encontrado uma variação do trojan Banker ( pws-banker.gen.t ), que como já citado diversas vezes aqui é um trojan ligado a golpes financeiros no Brasil.
Assim, para retirar a dúvida, o site utilizado na segunda análise foi o Jotti’s malware scan que nos deu a certeza ( 9 dos 15 antivírus mostraram este resultado ) que uma variação do Banker está contida neste arquivo.
Portanto, é interessante que não se execute este arquivo e, caso ele tenha sido executado, um antivírus atualizado deve ser utilizado para a limpeza da máquina. Maiores informações sobre este trojan em breve no site principal, ou no site da empresa Mcaffee.