‘Sincronize seu Token’ – Phishing ao banco Santander

Hoje recebi uma campanha de phishing ao banco Santander que, para além de não ter sido marcado como SPAM (no Gmail), também tem uma taxa de detecção de vírus baixa (9/43 segundo VirusTotal) se considerarmos o tipo de ataque.

O público alvo aparenta ser clientes brasileiros do Santander, mas já recebi alguns alertas de portugueses que ficaram infectados com este malware.

Cabeçalho da amostra:

Return-Path: age_riodosull@eucatur.com.br
Delivery-date: Mon, 10 Oct 2011 11:52:19 +0100
Received: from mail.eucatur.com.br ([200.193.166.146]) by xxxxxxxx with esmtp (Exim 4.69) (envelope-from <age_riodosull@eucatur.com.br>) id 1RDDT1-001EQW-35 for xxxxxxx; Mon, 10 Oct 2011 11:52:19 +0100
Received: from [10.0.0.5] (unknown [187.7.62.195]) by mail.eucatur.com.br (Postfix) with ESMTP id 63E46908567; Mon, 10 Oct 2011 07:34:39 -0300 (BRT)
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_02A5_01CC8743.4F80C720″
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
MIME-Version: 1.0
Subject: Sincronize seu Token.
To: <age_riodosull@eucatur.com.br>
From: “Santander Empresarial” <age_riodosull@eucatur.com.br>
Date: Mon, 10 Oct 2011 07:34:39 -0300

Após o utilizador clicar no ficheiro que descarregou ao clicar no link do email, a informação obtida pelo malware (Token_Santander.exe) é enviada para uma página web comprometida utilizando o método POST para um ficheiro PHPsntemp.php.
Gostava de salientar que a página é não tem o index protegido e por esse motivo é possível visualizar os ficheiros presentes nesse directório. Neste caso, apenas o ficheiro PHP parece ser utilizado para este phishing.

Para uma análise mais técnica e mais aprofundada da amostra, podem acompanhar o desenvolvimento que submeti nas seguintes sandboxes:

Se por algum motivo instalou este software malicioso, é altamente recomendando contactar a sua entidade bancária e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?