Já havíamos detectado publicações anteriores (09/03) em site de compartilhamento de texto que indicaram que páginas brasileiras estão distribuindo o trojan bancário conhecido como Emotet.
Em novos registros coletados, verificou-se 149 URL de domínios “.br” que fazem parte da infraestrutura do Emotet. Isso representa 3,25% do total de 4.569 URL que foram identificadas.
Entre os domínios brasileiros, dois estão vinculados a entidades públicas:
- SAAE – Serviço Autônomo de Saneamento Básico de Itabrito (Minas Gerais) – URL: http://www.saaeita.mg.gov.br/Rechnungsanschrift-korrigiert/
- Conservatório Pernambucano de Música – URL: http://conservatorio.pe.gov.br/Mar-15-09-25-02/Express-Domestic/
Em ambos os casos a finalidade do arquivo encontrado nas páginas de governo é a distribuição de artefatos infectados. Mandamos os malwares para análise no site VirusTotal.com e apresentaram taxa de detecção de 4/67 e de 5/68 antivírus. Veja aqui o relatório do SAAE Itabrito e aqui o do Conservatório Pernambucano.
O Brasil não é o único país que possui infraestrutura governamental sendo utilizada para finalidade maliciosa. Foram identificadas domínios de Argentina, Bangladesh, Hungria, Samoa Ocidental e Sri Lanka.
- http://www.deportes.sanluis.gov.ar/wp-content/languages/Overdue-payment/
- http://unomagurasadar.gov.bd/2p0q2HL/
- http://szombathely.jaras.gov.hu/Outstanding-Invoices/
- http://www.coastguard.gov.lk/assets/Outstanding-INVOICE-HIY/9958117/164/
- http://www.revenue.gov.ws/Sales-Invoice/