Microsoft Security E-mail Spoofs with Malware

Recebemos informações de clientes sobre um email que está circulando na Internet e se passa por um email de segurança da Microsoft. O email contém um executável anexado, que se passa por uma atualização de segurança recente e encoraja o usuário a executá-lo para que ele fique protegido.

Apesar de emails como este não serem novos, este em particular é um pouco diferente pois diz ser assinado pelo funcionário da Microsoft Steve Lipner e possui o que parece ser um bloco de assinatura PGP.

Apesar de este email usar uma nova estratégia para tentar aumentar a credibilidade do mesmo, eu posso dizer categoricamente que este não é um email legítimo: é um spam mal-intencionado e contém um malware anexado. Especificamente, ele contém o malware Backdoor:Win32/Haxdoor. Meus colegas do Microsoft Malware Protection Center (MMPC) me disseram que possuímos mecanismos de detecção para este malware em particular em todos os nossos antivírus e produtos anti-spyware (como Windows Defender, Microsoft Malicious Software Removal Tool (MSRT), Microsoft Forefront Security for Exchange Server, Microsoft Forefront Client Security, Windows Live OneCare e Windows Live OneCare Safety Scanner). Eles publicaram algumas informações adicionais em seus blogs. Lembrando que você pode, a qualquer momento, submeter suspeitos de malware para o MMPC clicando aqui.

Gostaria de aproveitar este momento para falar sobre nossas notificações de segurança e outros detalhes que ajudarão você a se livrar de spoofs mal-intencionados.

Para começar, nós nunca, nunca, jamais enviamos anexos em nossos emails de notificações de segurança. E, devido à política da empresa, a Microsoft jamais enviará a você um executável anexado. Se você receber um email que informa que é uma notificação de segurança com um anexo, exclua-o imediatamente. Com certeza é falso. Pense em nossos emails de notificação de segurança como uma notificação para que você acesse o boletim de segurança e então obtenha as atualizações a partir do link presente no boletim, que o levará para o Centro de Downloads da Microsoft, em https://www.microsoft.com/downloads/Search.aspx?displaylang=pt-br. Você sempre pode obter suas atualizações de segurança a partir dos links do boletim ou a partir de nossas ferramentas de implantação como Microsoft Update ou Windows Update, Windows Software Update Services (WSUS) ou Systems Center Configuration Manager.

Em segundo lugar, nossos emails de notificação de segurança são sempre enviados em texto puro: não usamos HTML nestes emails. Se você receber um email que se diz uma notificação de segurança da Microsoft e estiver em HTML, exclua-o imediatamente. Com certeza também é falso.

Em terceiro lugar, apesar de sempre usarmos PGP (Pretty Good Privacy) para assinar nossos emails de notificação de segurança, a presença de um bloco de assinatura PGP no email não significa que ele é autêntico. Se você deseja autenticar um email da Microsoft assinado com PGP e se certificar que ele veio de onde diz que veio, obtenha uma cópia de nossa assinatura PGP em https://www.microsoft.com/technet/security/bulletin/notify.mspx e utilize um software PGP para checar a assinatura.

Finalmente, se você não estiver certo sobre a legitimidade de um email de notificação de segurança da Microsoft, você sempre pode excluí-lo e acessar o site de segurança do TechNet diretamente. Tudo o que enviamos via email de notificação de segurança está publicado no site de segurança do TechNet: https://www.microsoft.com/brasil/technet/seguranca. Lembrem-se, as notificações via email representam apenas uma forma de avisá-lo sobre conteúdos que estão no site.

Além destas dicas acima, mantemos uma página que você pode usar ou divulgar para outros, que contém muitas dicas de segurança. Espero que estas dicas ajudem você a entender e identificar melhor emails falsos que se passam por notificações da Microsoft e permitam que você se proteja melhor contra os ataques de malwares.

Muito obrigado.

Equipe de Segurança Microsoft Brasil