Cuidado: As Campanhas de Spa no Número de Rastreamento da Notificação de Entrega da UPS estão Aumentando

Com as férias aqui, haverá um grande influxo do número de remessas através de muitos serviços, como a UPS. Durante esse período, não é incomum ver um aumento nos e-mails de notificação de remessa circulando, pois as pessoas desejam receber seus pacotes de maneira rápida e segura. Os cibercriminosos sabem disso e aumentaram seus esforços para circular as mensagens de spam com tema de número de rastreamento de notificação de entrega da UPS atadas a anexos maliciosos.

De acordo com a Panda Security, existem dois mecanismos de entrega principais que os hackers estão usando ao enviar mensagens falsas de Número de Rastreamento de Notificação de Entrega UPS, o uso de um link e um arquivo anexado. Ambos os métodos provaram ser eficazes, pois o link malicioso incluído neste email específico da campanha de spam é aquele que redireciona os usuários para baixar um arquivo malicioso. No caso de um anexo na mensagem de spam, o anexo contém praticamente a mesma ameaça de malware que o link leva para o download.

Figura 1. Exemplo da Mensagem de Spam no Número de Rastreamento da Notificação de Entrega da UPS - Fonte: Bart Blaze

Analisando profundamente as mensagens de email de número de rastreamento da notificação de entrega da UPS, como demonstrado na figura 1 acima, o arquivo parece ser um documento inofensivo do Microsoft Office à primeira vista. Na realidade, por trás do arquivo está um arquivo .rtf criado com códigos maliciosos que explora uma vulnerabilidade no Microsoft Office. A vulnerabilidade foi identificada como CVE-2012-0158 e CVE-2010-3333.

Quando o arquivo é executado, ele trava o Microsoft Word enquanto outros processos são criados e outro componente é descartado no sistema vulnerável, infectando-o com malware.

Os especialistas em segurança descobriram onde esse malware específico associado às mensagens de campanha de spam do UPS Delivery Notification Tracking Number entra em contato com vários domínios, incluindo o seguinte:

• customer.invoice-appmy.com
• customers.invoice-appmy.org
• customer.appmys-ups.orgfeed404.dnsquerys.org
• feed.queryzdnsz.org
• feeds.nsupdatedns.com
• feed404.dnsquerys.com
• static.invoice-appmy.com

Alguns administradores de rede que podem ver o tráfego direcionado pelos domínios listados acima como uma simples consulta ou solicitação de DNS e não são os mais sensatos para suspeitar de malware entrando em contato com os domínios. A carga útil do malware associado a esta campanha de spam é semelhante às famosas infecções pelo Zeus ou Zbot, o que nos leva a acreditar que essa campanha de spam emergente pode se tornar uma epidemia grave.