Email “Detran-Informa (47402)” contains URL to malicious VBS script


MX Lab, http://www.mxlab.eu, started to intercept a new malware distribution campaign by email with sutbjects like:

Detran-Informa (47402)
ipva-2016 – detran (51511)

This email is send from the spoofed addreses and has the following body:

e Débitos Relativos IPVA 2016
____________________________________________________________________

EXTRATO DE DÉBITO IPVA 2016

Prezado Condutor(a),

Comunicamos que consta em nosso banco de dados Debitos Relativos IPVA 2016
em seu CPF / CNPJ, das quais não foram quitadas nas respectivas datas de vencimento.

Pedimos a vossa atenção a este comunicado, pois, medidas legais serão adotadas, tais
como a inclusão em nosso Sistema DIVIDA ATIVA e Bloqueio no Cadastro
Nacional de Pessoa Física, bem como no Cadastro Nacional de Pessoa Jurídica.

Consulte os débitos existentes relativos à:

IPVA
Multas de trânsito, CETESB e RENAINF
Taxa de licenciamento
DPVAT
Debitos Pendente.Pdf

“AS INFORMACOES ACIMA, DE USO EXCLUSIVO DO DESTINATARIO, SAO PROTEGIDAS POR SIGILO
CONTRATUAL. SUA UTILIZACAO POR OUTRA PESSOA, OU PARA FINALIDADE DIVERSA DA CONTRATADA,
CARACTERIZA ILICITO CIVIL, TORNANDO A PROVA IMPRESTAVEL PARA O PROCESSO”.

IPVA 2016 – http://www.denatran.serpro.gov.br

The embedded URL, that uses a bit.ly address, will download a VBS file that is detected as Trojan-Downloader.VBS.Agent.bwv by 1/54 AV engines at Virus Total.