Ataque de phishing usa o nome dos bancos CGD e o Montepio

Ontem recebi dois emails com o mesmo esquema mas usando diferenças nos links, remetente e o nome do banco. Os remetentes segg.cgd@cgd.pt e grupo@montepio.pt foram os emails usados para tentar enganar os utilizadores menos experientes.

São emails com um texto aparentemente com melhor verificação ortográfica, em relação aos do género, para um português standard e com imagens e contactos reais dos bancos em questão.

Para os menos atentos, os bancos NUNCA requisitam qualquer informação aos clientes. Este tipo de phishing não é novo e vai ganhando novos métodos e assuntos para que se possa tornar mais perigoso e invisível aos filtros de SPAM e antivírus.

Os links no qual os email requisam a reintrodução dos dados diferem do texto que mostra, bastando passar com o cursor do rato para verificar a diferença. Provavelmente estes links foram comprometidos e estão a ser usados para alojar o malware num dos directórios (com atributo escondido).

Após o click nesses links, que remetem para uma página PHP, vai pedir ao visitante para executar ou descarregar um ficheiro .exe (por exemplo: Actualizacao-Montepio.exe ou Actualizacao-CGD.exe).

Para que este malware (apenas detectado no antivírus DrWeb como Trojan.PWS.Banker.origin) não ser facilmente identificado pelas SandBox públicas, o autor criou uma aplicação em Delphi que necessita de ter um visto numa checkbox para assim começar a descarregar e a inserir dados de registo no sistema operativo Windows.

Devido a diversas semelhanças com casos anteriores, a língua utilizada e a variáveis no código, pode ter sido um ataque vindo do Brasil.

Estes emails são detectados como SPAM em diversos clientes de email mas fica o alerta para os mais descuidados.
Para os que quiserem acompanhar este malware deixo a referência ssdeep:

24576:aNMkU311EnNm/Mo0DBauMKVUnWVGGGGGGGGHaI7:a+cNm/0DBaNKqW5am.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    4 Comentários em "Ataque de phishing usa o nome dos bancos CGD e o Montepio"

    1. AjaX diz:

      isto esta cada dia mais perigoso, temos de nos preparar para um futuro pior já que os bancos nada fazem para colocar um fim

    2. Por acaso também recebi esse mail de phishing… há que ter atenção e dar a conhecer esses ataques a pessoas menos atentas ou sem conhecimentos técnicos.

    3. hugo matos diz:

      boas, tenho conta no montepio geral e existe um link ou site a fazer se passar pelo do montepio. Sendo assim, a minha mae, na sua inocencia, abriu um link, pensando que era do montepio, onde lhe pedia um update de software e os numeros matrix do cartao…sem saber o que fazia inseriu todos os dados, dias mais tarde 2000ers desaparecem da minha conta para a conta de um tal Francisco Silva. A PJ ja esta em cima do caso, a conta do tal Chico silva ja foi cancelada, mas nao ha maneira de me dizerem se o meu “guito” continua la ou se desapareceu para outra(s) conta(s). Enfim, estou em “acido”, sem dinheiro e sem saber o que fazer…a nao se esperar pelo nosso sistema juridico ou policial que resolva a situacao…alguma ajuda seria fantastica.

    Trackbacks para este post

    1. CRK Portugal » Ataque de phishing usa o nome dos bancos CGD e o Montepio

    Que tal participar com o seu comentário?