A ESET alerta para a nova ameaça que utiliza a imagem dos CTT Expresso para disseminar uma variante do sofisticado troiano bancário Hesperbot, detalhadamente analisado pelos laboratórios ESET, tendo sido em Setembro de 2013 lançado um alerta mundial acerca dos riscos deste malware extremamente complexo que incorpora funcionalidades de roubo baseadas no popular Zeus e SpyEye, com especial enfoque na sua presença em Portugal através de uma botnet.
Segue-se info oficial Eset:
A ameaça chega ao utilizador através de uma mensagem de e-mail indicando que não foi possível a entrega de uma determinada encomenda no seu endereço, sendo que para a poder receber terá de descarregar as informações acerca da mesma no site do CTT Expresso, imprimi-las e deslocar-se ao posto dos correios mais próximo.
Para que o utilizador sinta o impulso de concretizar esta acção o mais rapidamente possível, a mensagem de email falsa informa o cliente de que se o pacote não for recebido dentro de 30 dias úteis, os CTT irão cobrar 4,18 Euros por despesas de manutenção.
Quando a vítima dá um clique no botão download de informações é redireccionado para uma página de aspecto bastante fidedigno, à excepção do endereço que ao invés de www.ctt.pt é www.cctt.su.
Nesse site, uma cópia quase idêntica da página de pesquisa de objectos legítima do CTT Expresso, o utilizador é convidado a introduzir o código mostrado do lado esquerdo do formulário para ter acesso às informações do objecto. Se o código (captcha) não for correctamente introduzido, não irá prosseguir para o download das informações.
Após a introdução do código o utilizador chega a uma página onde é convidado a dar um clique em Download de Informações, que permitirá então descarregar um ficheiro Zip, com o nome “info_
O método de engenharia social utilizado por este malware abrange todo o universo de utilizadores nacionais, considerando a abrangência do serviço de correios (ao invés da limitação de utilizadores de um determinado banco quando é utilizado este tipo de phishing) e desta forma a ESET Portugal recomenda a todos os utilizadores a máxima precaução na interpretação das mensagens email recebidas e aos links (neste caso www.ctt.su, ao invés do link para ao site legítimo www.ctt.pt ou www.cttexpresso.pt).
Os clientes das soluções ESET encontram-se protegidos contra este malware, sendo o link para a página imediatamente bloqueado impedindo o acesso à sua vizualização e o próprio ficheiro que possa ser descarregado também será bloqueado com a identificação “Win32/Spy.Hesperbot.L trojan”.
Add comment