Todos os posts tagados drweb

Ataque de phishing usa o nome dos bancos CGD e o Montepio

Ontem recebi dois emails com o mesmo esquema mas usando diferenças nos links, remetente e o nome do banco. Os remetentes segg.cgd@cgd.pt e grupo@montepio.pt foram os emails usados para tentar enganar os utilizadores menos experientes.

São emails com um texto aparentemente com melhor verificação ortográfica, em relação aos do género, para um português standard e com imagens e contactos reais dos bancos em questão.

Para os menos atentos, os bancos NUNCA requisitam qualquer informação aos clientes. Este tipo de phishing não é novo e vai ganhando novos métodos e assuntos para que se possa tornar mais perigoso e invisível aos filtros de SPAM e antivírus.

Os links no qual os email requisam a reintrodução dos dados diferem do texto que mostra, bastando passar com o cursor do rato para verificar a diferença. Provavelmente estes links foram comprometidos e estão a ser usados para alojar o malware num dos directórios (com atributo escondido).

Após o click nesses links, que remetem para uma página PHP, vai pedir ao visitante para executar ou descarregar um ficheiro .exe (por exemplo: Actualizacao-Montepio.exe ou Actualizacao-CGD.exe).

Para que este malware (apenas detectado no antivírus DrWeb como Trojan.PWS.Banker.origin) não ser facilmente identificado pelas SandBox públicas, o autor criou uma aplicação em Delphi que necessita de ter um visto numa checkbox para assim começar a descarregar e a inserir dados de registo no sistema operativo Windows.

Devido a diversas semelhanças com casos anteriores, a língua utilizada e a variáveis no código, pode ter sido um ataque vindo do Brasil.

Estes emails são detectados como SPAM em diversos clientes de email mas fica o alerta para os mais descuidados.
Para os que quiserem acompanhar este malware deixo a referência ssdeep:

24576:aNMkU311EnNm/Mo0DBauMKVUnWVGGGGGGGGHaI7:a+cNm/0DBaNKqW5am.