Todos os posts tagados gen.variant.kazy

Phishing Banif – comprovante de transferência ACTUALIZADO

Gostaria de alertar a um email de phishing que anda a circular pela web, que tenta convencer um utilizador a clicar no link que demonstra um suposto comprovativo de transferência.

Nada de novo até aqui.

No entanto, este email fraudulento utiliza nomes de empresas portuguesas reais, possivelmente capturando base de dados públicas na web. Deste modo, um utilizador menos experiente, pode ser iludido por este novo elemento.
Pessoalmente nunca tinha reparado num email com este tipo de informação.

Remetente: comprovante01@banif.pt

Ao clicar no link (220.110.186.58/main/css/install_flash_player.asp) que acompanha o email, este vai abrir uma página web que recomenda a instalação do Flash Player para visualizar correctamente a página.

De salientar a falta de qualidade das imagens, o idioma em português brasileiro utilizado nesta página fraudulenta e a semelhança propositada de uma instalação real desta aplicação.

Após o clique no Instalar agora, solicita ao utilizador o download do ficheiro install_flash.exe.

Submeti este ficheiro no VirusTotal onde obteve uma taxa de detecção, dos antivírus, de 35.7%.
O ficheiro é identificado por Gen.Variant.Kazy.

Este malware, numa análise resumida e directa, descarrega ficheiros da Internet; adiciona e modifica informação no registo do Windows; envia tráfego com informação confidencial para um local na web controlado pelo utilizador malicioso e modifica as definições de segurança do browser da MicrosoftInternet Explorer.

Em www.servicoweb.dominiotemporario.com deve estar instalada uma aplicação web que controla os utilizadores infectados, porque existem várias ligações de envio e recepção de informação com este domínio.

Para uma análise mais técnica e mais aprofundada, podem acompanhar o desenvolvimento nas sandboxes:

Se por algum motivo instalou este software é altamente recomendando contactar o seu banco e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Este artigo foi encaminhado para a equipa técnica do Banif, que já tinha conhecimento do email em questão como podem ver no site oficial da entidade bancária.

UPDATE:

Ter atenção que o mesmo ataque está a ser efectuado utilizando o nome do banco BPI.

O malware é o mesmo, apenas existem diferenças em algum texto.

Até agora, baseado nos emails que recebi, verifiquei o seguinte:

IPs associados ao remetente:

– 213.13.158.93 – fe18.tasp.pt
– 213.13.158.4 – fe27.tasp.pt
– 213.4.134.165 – ZE3SMTPIN020.e.telefonica.net

Links onde está alojado o malware:

– plastline.com.br/gerenciador/fm_includes/gerenciador/install_flash_player.htm
– 220.110.186.58/main/css/install_flash_player.asp
– petromaster.net/main/js/flash_player.asp
– 220.229.232.69/flash_player.html