Mẫu email lừa đảo được gửi từ Parabens Voce foi o ganhador de um Par de ingressos atendimento.promo5885631@Domain.com với tiêu đề Copa do Mundo FIFA 2014 - Chúc mừng, bạn đã giành chiến thắng một cặp vé xem FIFA World Cup 2014.

Email có nội dung: "Bạn đã giành chiến thắng một cặp vé xem FIFA World cup 2014 tại Brazil! Hãy in cặp vé điện tử này và tới nhận vé xem World Cup thật tại trung tâm bán vé ở thành phố của bạn. Kiểm tra địa chỉ của trung tâm bán vé ở thành phố của bạn tại đây (có đường link liên kết gắn kèm)".

Người nhận email bị dụ dỗ nhấn vào đường link liên kết và in vé trận đấu. Tuy nhiên, liên kết này sẽ dẫn tới một URL độc hại để tải về tệp tin eTicker.rar - có chứa một tệp tin có khả năng thực thi là eTicket.exe.

Một tệp tin có tên thanks.exe (chứa sâu máy tính Infostealer.Bancos) sẽ được đặt tại thư mục Programs/Startup/thanks.exe trên máy tính của người dùng để có thể được chạy mỗi khi Windows khởi động. Sâu máy tính sẽ chạy ngầm định, tìm mọi cách tránh né các phần mềm bảo mật, ăn cắp thông tin tài chính quan trọng, lưu các dữ liệu được lấy cắp và gửi tới kẻ tấn công từ xa vào một thời điểm thích hợp sau đó. Những tổn hại mà người dùng sẽ phải hứng chịu khi trở thành nạn nhân có thể sẽ rất nghiêm trọng, đặc biệt là tài khoản ngân hàng có thể sẽ bị khoắng sạch, hoặc máy tính bị lây nhiễm trở thành một phần của một mạng botnet.

Email chứa mã độc có nội dung liên quan tới FIFA World Cup.

Theo phát hiện của Symantec, mã độc này đã được điều chỉnh để nhắm tới các tổ chức tài chính tại Brazil. Mẫu email nêu trên được soạn thảo bằng tiếng Bồ Đào Nha và nhắm tới những người dùng ở Brazil, song nó có thể được sử dụng để thay đổi nội dung cho phù hợp với các khu vực khác, các nước khác và dưới ngôn ngữ khác. Bởi vì bóng đá có tầm ảnh hưởng mang tính toàn cầu, những email có nội dung tương tự có thể khiến nhiều người dùng trên thế giới bị trở thành nạn nhân của chúng.

Để bảo vệ người dùng, Symantec đã trang bị cho giải pháp bảo mật của mình công nghệ “theo dõi liên kết” có khả năng kiểm tra tất cả những trang web liên kết được đính kèm trong email nhằm phát hiện virus và các mối đe dọa bảo mật khác, có thể xác định chính xác loại mã độc trên mỗi đường liên kết URL. Việc phát hiện sau đó sẽ được lưu lại để những email khác gửi tới trong tương lai có chứa những liên kết tới cùng loại mã độc này sẽ bị coi là “đã bị lây nhiễm” và sau đó được cách ly. 

Với những người sử dụng máy tính nói chung, Symantec tiếp tục khuyến cáo áp dụng một số phương pháp bảo vệ như cẩn trọng khi nhận được những email không rõ nguồn gốc, tránh nhấp chuột vào những liên kết đính kèm hoặc tệp tin đính kèm trong các email này, sử dụng phần mềm bảo mật cập nhật mới nhất, thường xuyên cập nhật chữ ký chống thư rác.