ANÁLISE DE

SPAM
Responsável: Luciano Rodrigues
Data: 07/12/2021
Mandato de Intimação
de Testemunha
 Introdução

Com o avanço tecnológico e com a crescente

transformação digital, cada vez mais nossos serviços
do dia-a-dia passaram a ser resolvidos pela internet,
como a facilidade em pagar uma conta de luz,
emitir segunda via do boleto, ou até mesmo
acompanhar um processo judicial por e-mail.

Acontece que junto dessa facilidade também

atraímos a atenção de criminosos que estão cada
vez mais presentes no meio digital, tentando aplicar
golpes pela internet mirando em pessoas com
menor domínio das tecnologias.

Esta análise de e-mail que foi realizada revela uma

prática muito comum em nosso meio, o uso de
mensagens eletrônicas que parecem verídicas com
assuntos importantes, mas que na verdade tem por
objetivo infectar computadores para roubar
informações e na maioria das vezes para lhe trazer
prejuízos financeiros.
 O Início de Tudo

Recebi um e-mail de intimação para depor como

testemunha. Muito estranho isso, não estou
sabendo de nenhum processo judicial (!?)

Preocupado em saber se era verdade, fui atrás de

entender a veracidade do e-mail.
Primeiro Passo: Inspecionando o E-mail

Aqui já podemos ver uma inconsistência no campo

remetente. Repare que o nome do remetente é
intimacao.tjportal.jus.br e o e-mail é
just@uioct.com. O que é informação suficiente para
descartarmos o e-mail sem nenhuma preocupação.
Após exibir o código fonte do e-
mail, podemos verificar mais
inconsistências nos domínios do
remetente que nada tem a ver
com jus.br, domínio oficial dos
tribunais de justiça.

Sem contar que o login que originalmente enviou o

e-mail foi um tal de “ventura1991”!
 Segundo Passo: Seguindo a Isca

No E-mail está presente um link para visualizar e

imprimir o PDF.

Este link nos leva para a seguinte URL, que está

hospedada em um dos servidores do Google:
http://244.125.222.35.bc.googleusercontent.com/ABCDEFGHIJKLMNOPQRSTUVWX
YZabcdefghijklmnopqrstuvwxyz0123456789+

Que ao ser acessado nos redireciona para um site

hospedado na amazon web services (S3):
https://s3.amazonaws.com/7914917-24.7135.euq.6515-06-12-2021/4651925-
91.3335.iPP.8765.html
 Podemos ver o redirecionamento através da
ferramenta para desenvolvedores nativa do browser
 Mordendo a isca

Assim que a página na qual fomos redireconados

carrega, é feito o download de um arquivo zip para
o computador.

Inspecionando a página, podemos ver que seu

código javascript está obfuscado, ou seja, todo
embaralhado intencionalmente para que não
consigamos interpretar o código com clareza.
Dentro do arquivo zip há um instalador de software
genérico, também chamado de instaldor “MSI”.

Entretanto, quando enviamos este arquivo para

análise automatizada no site any.run, temos todos
os indicadores de que este é de fato um software
malicioso com 100% de certeza.

100% de
certeza que
é do mal!
 Revelando o Disfarce

Ainda no site any.run que executa o programa em

ambiente isolado, podemos ver que o programa se
comunica com um site externo de dns dinâmico
(roletarus.duckdns.org) carregando um arquivo de
estilos http (.css), mas na verdade é baixado um
outro zip para a máquina.

Pelo conteúdo rapidamente identificamos que é um arquivo binário. O fato de

começar com “PK” denota que é um arquivo zipado (magic bytes).
Ao enviar o arquivo para o virustotal.com, outro site
que avalia programas e links maliciosos, apenas 1
de 93 antivírus detectou o arquivo como malicioso.

Este arquivo é extraído e executado com o nome

“PsQeK3uDelete.SIS.Service.exe” e sua função é:
1) Gravar registros que garantem que ele será
novamente executado caso o computador seja
reiniciado, mantendo sua persistência:
2) Se comunicar com o site do hacker e enviar o
endereço IP da máquina que será registrado como
infectado. Para isto, é feito uma requisição HTTP do
tipo POST vazia para o site
modalintima1.northcentralus.cloudapp.azure.com
 O Inesperado Acontece

Após acessar o site do hacker usando a URL

reportada pelo site any.run, nos deparamos com a
mensagem que o arquivo com nosso IP já existe.

Ao manipular a URL e remover o arquivo

“yajdfgasf.php” afim de listar o conteúdo do
diretório, TCHARAM!!

Vemos que a listagem de diretório está ativa no

servidor web (apache inclusive).
E a melhor parte... Ao clicar no arquivo
“clientes.php” somos surpreendidos com a
seguinte tela:
 Bônus!

Para você cético como eu, ao abrir o arquivo

dados.txt que também é uma lista em texto puro
das máquinas infectadas, encontramos a pérola:

O Acre Existe!!!
 Agradecimentos

Jessé Neto – Meu querido amigo especialista em

Segurança da Informação.

Rodrigo D’ Afonseca Silva – Por ter me inspirado a

criar este material, meu muito obrigado.

Gostou ? Me Siga Para Mais

Luciano Rodrigues
https://www.youtube.com/channel/UC8-lVCBOpgbZDrQ-O6da1CQ