Cibercriminosos estão empenhados em uma campanha de propagação de malware, enviando um grande número de mensagens de e-mail que supostamente seriam MMS gateway da Vodafone. Esses e-mails aparecem com o seguinte assunto: “Você recebeu uma nova mensagem” e afirmam que foi enviada uma mensagem via MMS a partir de um cliente Vodafone.

O endereço de e-mail da Vodafone utilizado e o suposto número de telefone que envia as mensagens variam; até mesmo o código do país é alterado com base no local alvo. Por exemplo, no Reino Unido os e-mails são enviados de mms@vodafone.co.uk e têm o código do país, que é 44, enquanto na Alemanha as mensagens supostamente são enviadas do endereço mms@vodafone.de, e carregam um 49 na frente do número mobile.

As mensagens dizem que uma mensagem de imagem está no arquivo anexado “Vodafone_MMS.zip”. Entretanto, uma vez descompactado, um executável chamado “Vodafone_MMS.jpg.exe” irá instalar malware no sistema da vítima quando for lançado. De acordo com o VirusTotal , o malware atualmente só é detectado por apenas 8 dos 44 programas antivírus utilizados pelo serviço de scanner online de vírus.

Além disso, uma análise do arquivo realizada em uma sandbox não deixa dúvidas sobre suas intenções maliciosas: entre outras coisas, ele se copia para C:\Documents and Settings\All Users\svchost.exe, e depois se esconde sob SunJavaUpdateSched para acompanhar a inicialização do Windows.

Com informações de The H