Ameaça Informática Hesperbot utiliza imagem dos CTT para enganar as vítimas

 

 

 

 

A ESET (www.eset.pt) lança o alerta para uma nova ameaça que se encontra a circular na Internet e que utiliza a imagem dos CTT Expresso para disseminar uma variante do sofisticado troiano bancário Hesperbot. O Hesperbot foi detalhadamente analisado pelos laboratórios ESET (http://eset.pt/blog/2013/09/hesperbot-analise-tecnica-parte-1-de-2/), tendo sido em Setembro de 2013 lançado um alerta mundial acerca dos riscos deste malware extremamente complexo que incorpora funcionalidades de roubo baseadas no popular Zeus e SpyEye, com especial enfoque na sua presença em Portugal através de uma botnet.

 

 

A ameaça chega ao utilizador através de uma mensagem de e-mail indicando que não foi possível a entrega de uma determinada encomenda no seu endereço, sendo que para a poder receber terá de descarregar as informações acerca da mesma no site do CTT Expresso, imprimi-las e deslocar-se ao posto dos correios mais próximo.

email

Para que o utilizador sinta o impulso de concretizar esta ação o mais rapidamente possível, a mensagem de email falsa informa o cliente de que se o pacote não for recebido dentro de 30 dias úteis, os CTT irão cobrar 4,18 Euros por despesas de manutenção.

Quando a vítima dá um clique no botão download de informações é redireccionado para uma página de aspecto bastante fidedigno, à excepção do endereço que ao invés de http://www.ctt.pt é http://www.cctt.su.

site_1

Nesse site, uma cópia quase idêntica da página de pesquisa de objetos legítima do CTT Expresso, o utilizador é convidado a introduzir o código mostrado do lado esquerdo do formulário para ter acesso às informações do objecto. Se o código (captcha) não for corretamente introduzido, não irá prosseguir para o download das informações.

Após a introdução do código o utilizador chega a uma página onde é convidado a dar um clique em Download de Informações, que permitirá então descarregar um ficheiro Zip, com o nome “info_791d9671f5e2954af6a04cad8f8faa14.zip” que contém no seu interior um executável “Informacoes.exe”.

site_2

O método de engenharia social utilizado por este malware abrange todo o universo de utilizadores nacionais, considerando a abrangência do serviço de correios (ao invés da limitação de utilizadores de um determinado banco quando é utilizado este tipo de phishing) e desta forma a ESET Portugal recomenda a todos os utilizadores a máxima precaução na interpretação das mensagens email recebidas e aos links (neste caso http://www.ctt.su, ao invés do link para ao site legítimo http://www.ctt.pt ou www.cttexpresso.pt).

Os clientes das soluções ESET encontram-se protegidos contra este malware, sendo o link para a página imediatamente bloqueado impedindo o acesso à sua vizualização e o próprio ficheiro que possa ser descarregado também será bloqueado com a identificação “Win32/Spy.Hesperbot.L trojan”.

 

 

 

Fonte: ESET



Anúncios
Esta entrada foi publicada em Alertas, Cibercrime, Malware, Phishing. ligação permanente.

Deixe uma Resposta

Preencha os seus detalhes abaixo ou clique num ícone para iniciar sessão:

Logótipo da WordPress.com

Está a comentar usando a sua conta WordPress.com Terminar Sessão / Alterar )

Imagem do Twitter

Está a comentar usando a sua conta Twitter Terminar Sessão / Alterar )

Facebook photo

Está a comentar usando a sua conta Facebook Terminar Sessão / Alterar )

Google+ photo

Está a comentar usando a sua conta Google+ Terminar Sessão / Alterar )

Connecting to %s