A Trend Micro foi alertada para uma mensagem de spam supostamente da cadeia de televisão hispânica Univision. O corpo da mensagem pode traduzir-se da seguinte forma: “Esta manhã, o ditador cubano Fidel Castro faleceu na sua casa em Laguito…De acordo com as notícias oficiais, Fidel Castro estava em estado crítico e recentemente tinha sofrido um ataque cardíaco.” O e-mail afirmava ter provas em vídeo do corpo de Fidel junto ao seu aliado, o Presidente venezuelano Hugo Chavez. Quando um utilizador acedia aos links, era aberta uma nova janela para uma página do Clarin.com, um dos jornais online em língua espanhola mais consultados. A Trend Micro confirmou que, ao aceder aos links (que não estão relacionados com o Clarin.com) no e-mail original, o utilizador descarrega um ficheiro Trojan –o TROJ_AGENT.FRV.

Este Trojan acede a websites criados para o download do Trojan Dropper - TROJ_DROPPER.GBZ - que desliga o Task Manager e evita assim que os utilizadores cancelem os processos maliciosos manualmente ao suspeitarem que estão a ser infectados. Descarrega também duas variantes do WORM_BANWOR que roubam informação do sistema. O trojan malicioso espera sem ser detectado, enquanto o utilizador visita sites, e é activado quando encontra determinados códigos nas barras de título do browser web. Posteriormente,  regista  as teclas utilizadas e envia esta informação por e-mail para os criadores do malware.

Os utilizadores são levados a acreditar no conteúdo desta mensagem devido às seguintes técnicas de engenharia social: aparentemente estas mensagens provêm de uma agência de notícias mexicana, Notimex; contêm um logo da Univision, uma cadeia de TV em língua espanhola difundida nos EUA e Porto Rico, o que dá credibilidade aos seus conteúdos; referem também “Exclusivo” em letras grandes e vermelhas; contêm uma imagem intrigante do que parece ser o corpo de Fidel Castro; são enviadas alguns dias após as notícias da sucessão, aumentando as suspeitas sobre o verdadeiro motivo da renuncia.

As soluções de Protecção Contra Ameaças Web da Trend Micro disponibilizam uma defesa contra múltiplas ameaças que se aproveitam da natureza interactiva da Internet, protegendo a informação do utilizador ao nível da gateway, rede, endpoint e nuvem de Internet. A tecnologia anti-spam da Trend Micro bloqueia e-mails indesejados na gateway, evitando que os utilizadores recebam grandes quantidades de mensagens. Outro nível de protecção é fornecido através da tecnologia de Reputação Web (Web Reputation Services) que identifica websites maliciosos ou perigosos e bloqueia o acesso com base nas taxas de reputação de domínio. A tecnologia de reputação de ficheiros assegura a integridade dos ficheiros descarregados de forma involuntária para outros PCs. Ao nível do desktop, a tecnologia antivírus detecta malware, como o TROJ_AGENT.FRV ou TROJ_DROPPER.GBZ, e todas as variantes relacionadas com a família WORM_BANWOR.

Para informação técnica sobre esta ameaças consulte:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EFRV&VSect=T
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDROPPER%2EGBZ&VSect=T
http://www.trendmicro.com/vinfo/virusencyclo/default2.asp?m=q&virus=banwor&alt=banwor&Sect=SA
http://blog.trendmicro.com/cubas-castro-critical-condition-to-concocted-casualty/