Phishing Banif – comprovante de transferência ACTUALIZADO

Gostaria de alertar a um email de phishing que anda a circular pela web, que tenta convencer um utilizador a clicar no link que demonstra um suposto comprovativo de transferência.

Nada de novo até aqui.

No entanto, este email fraudulento utiliza nomes de empresas portuguesas reais, possivelmente capturando base de dados públicas na web. Deste modo, um utilizador menos experiente, pode ser iludido por este novo elemento.
Pessoalmente nunca tinha reparado num email com este tipo de informação.

Remetente: comprovante01@banif.pt

Ao clicar no link (220.110.186.58/main/css/install_flash_player.asp) que acompanha o email, este vai abrir uma página web que recomenda a instalação do Flash Player para visualizar correctamente a página.

De salientar a falta de qualidade das imagens, o idioma em português brasileiro utilizado nesta página fraudulenta e a semelhança propositada de uma instalação real desta aplicação.

Após o clique no Instalar agora, solicita ao utilizador o download do ficheiro install_flash.exe.

Submeti este ficheiro no VirusTotal onde obteve uma taxa de detecção, dos antivírus, de 35.7%.
O ficheiro é identificado por Gen.Variant.Kazy.

Este malware, numa análise resumida e directa, descarrega ficheiros da Internet; adiciona e modifica informação no registo do Windows; envia tráfego com informação confidencial para um local na web controlado pelo utilizador malicioso e modifica as definições de segurança do browser da MicrosoftInternet Explorer.

Em www.servicoweb.dominiotemporario.com deve estar instalada uma aplicação web que controla os utilizadores infectados, porque existem várias ligações de envio e recepção de informação com este domínio.

Para uma análise mais técnica e mais aprofundada, podem acompanhar o desenvolvimento nas sandboxes:

Se por algum motivo instalou este software é altamente recomendando contactar o seu banco e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Este artigo foi encaminhado para a equipa técnica do Banif, que já tinha conhecimento do email em questão como podem ver no site oficial da entidade bancária.

UPDATE:

Ter atenção que o mesmo ataque está a ser efectuado utilizando o nome do banco BPI.

O malware é o mesmo, apenas existem diferenças em algum texto.

Até agora, baseado nos emails que recebi, verifiquei o seguinte:

IPs associados ao remetente:

– 213.13.158.93 – fe18.tasp.pt
– 213.13.158.4 – fe27.tasp.pt
– 213.4.134.165 – ZE3SMTPIN020.e.telefonica.net

Links onde está alojado o malware:

– plastline.com.br/gerenciador/fm_includes/gerenciador/install_flash_player.htm
– 220.110.186.58/main/css/install_flash_player.asp
– petromaster.net/main/js/flash_player.asp
– 220.229.232.69/flash_player.html

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    9 Comentários em "Phishing Banif – comprovante de transferência ACTUALIZADO"

    1. DS diz:

      Tenho recebido imensos emails com pedidos de ajuda de utilizadores que instalaram o software malicioso.

      Também já recebi outras variantes deste email com remetentes diferentes e nomes de empresas, também diferentes.

      Partilhem esta informação com amigos e familiares para que estes não sejam vítimas deste email fraudulento.

    2. Napster diz:

      Não consigo perceber como é que há pessoas que ainda caem neste tipo de esquemas.. É surreal.

    3. JF diz:

      Infelizmente o Banif não comenta estes e-mails que são emitidos por um colaborador do banco. Eventualmente esse colaborador tem acesso à base e dados do banco e passwords dos clientes.
      É fantástico como isto ainda acontece…

    4. DS diz:

      @JF não me parece que seja o caso que refere.
      É mais um ataque como os outros e pelo que tenho visto, não há distinção se o recteptor do email em questão é cliente do Banif ou não. Chega a todos.

    5. Napster diz:

      Exacto, este ataque não quer dizer que o atacante tenha acesso à BD (eu tenho quase a certeza que não tem). Isto é pessoal que junta umas mail lists de várias BDs e depois mandam para todos, eles não fazem a mínima ideia de quem seja banif ou não. É tudo uma questão de sorte.

    6. higuita diz:

      Correcto, isto é a tactica de mandar 10 milhões de emails, 99.99999% deles não dão em nada, mas se 10 cairem como uns patos, já valeu a pena…os outros, nem sequer importa se existem ou não

    7. DS diz:

      @higuita Infelizmente, baseado apenas no número de contactos que tenho recebido via email, a número de vítimas deste ataque de phishing tem sido considerável. A falta de formação dos portugueses nesta área é crítica e tem de mudar drasticamente.

    8. Ronaldo diz:

      Muito boa a análise do phishing.
      No Brasil esse tipo de golpe é muito comum e recebemos aos montes em nossas caixas de entrada.
      Abraço!
      Ronaldo Lima

    9. DS diz:

      @Ronaldo, desde já obrigado pelo seu comentário.
      Quanto ao artigo, você deve saber melhor que ninguém que cada vez mais estes tipos de ataques tem tido um maior impacto na Internet.

      Parabéns pelo seu trabalho no crimesciberneticos.com (já sigo o feed)

      Abraço.

    Que tal participar com o seu comentário?