Todos os posts tagados santander

‘Sincronize seu Token’ – Phishing ao banco Santander

Hoje recebi uma campanha de phishing ao banco Santander que, para além de não ter sido marcado como SPAM (no Gmail), também tem uma taxa de detecção de vírus baixa (9/43 segundo VirusTotal) se considerarmos o tipo de ataque.

O público alvo aparenta ser clientes brasileiros do Santander, mas já recebi alguns alertas de portugueses que ficaram infectados com este malware.

Cabeçalho da amostra:

Return-Path: age_riodosull@eucatur.com.br
Delivery-date: Mon, 10 Oct 2011 11:52:19 +0100
Received: from mail.eucatur.com.br ([200.193.166.146]) by xxxxxxxx with esmtp (Exim 4.69) (envelope-from <age_riodosull@eucatur.com.br>) id 1RDDT1-001EQW-35 for xxxxxxx; Mon, 10 Oct 2011 11:52:19 +0100
Received: from [10.0.0.5] (unknown [187.7.62.195]) by mail.eucatur.com.br (Postfix) with ESMTP id 63E46908567; Mon, 10 Oct 2011 07:34:39 -0300 (BRT)
Content-Type: multipart/alternative;
boundary=”—-=_NextPart_000_02A5_01CC8743.4F80C720″
X-MimeOLE: Produced By Microsoft MimeOLE V6.1.7601.17609
MIME-Version: 1.0
Subject: Sincronize seu Token.
To: <age_riodosull@eucatur.com.br>
From: “Santander Empresarial” <age_riodosull@eucatur.com.br>
Date: Mon, 10 Oct 2011 07:34:39 -0300

Após o utilizador clicar no ficheiro que descarregou ao clicar no link do email, a informação obtida pelo malware (Token_Santander.exe) é enviada para uma página web comprometida utilizando o método POST para um ficheiro PHPsntemp.php.
Gostava de salientar que a página é não tem o index protegido e por esse motivo é possível visualizar os ficheiros presentes nesse directório. Neste caso, apenas o ficheiro PHP parece ser utilizado para este phishing.

Para uma análise mais técnica e mais aprofundada da amostra, podem acompanhar o desenvolvimento que submeti nas seguintes sandboxes:

Se por algum motivo instalou este software malicioso, é altamente recomendando contactar a sua entidade bancária e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Phishing ao Banco Santander

Recentemente, recebi duas amostras de campanhas que têm como objectivo efectuar phishing às contas dos clientes do Banco Santander.

Segundo os endereços IP’s dos remetentes, do português utilizado, dos endereços de alojamento e dos nomes de variáveis utilizadas, tudo aponta ser um ataque de origem brasileira.

Cabeçalho da 1ª amostra:

Received: from mx-ccr.cristorei.com.br ([200.162.160.111]) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from emerson@jmarques.com.br) id 1QrMjl-000vfq-90 for XXXXX@XXXXXXXXXXXXX.XXX; Thu, 11 Aug 2011 05:19:18 +0100
Received: from [192.168.1.4] (unknown [187.59.59.80]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id 611C81E9408; Thu, 11 Aug 2011 01:07:30 -0300 (BRT)
Return-Path: emerson@jmarques.com.br
From: “Santander S.A.” emerson@jmarques.com.br
To: emerson@jmarques.com.br
Subject: Comunicado!

Cabeçalho da 2ª amostra:

Received: from [200.162.160.111] (helo=mx-ccr.cristorei.com.br) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from naturalspa@naturalspa.com.br) id 1QqzSO-001mLE-U7 for XXXXX@XXXXXXXXXXXXX.XXXm; Wed, 10 Aug 2011 04:27:49 +0100
Received: from [192.168.0.166] (189.114.195.73.dynamic.adsl.gvt.net.br [189.114.195.73]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id C0AAA1E98C1; Wed, 10 Aug 2011 00:26:58 -0300 (BRT)
Return-Path: naturalspa@naturalspa.com.br
From: “Sanatander S.A.” naturalspa@naturalspa.com.br
To: naturalspa@naturalspa.com.br
Subject: Comunicado!

Após o utilizador efectuar o download e executar a aplicação, este vai requisitar informação bancária, que posteriormente, é enviado via método POST para um ficheiro PHP alojado num servidor web comprometido. Este processo é muito habitual nestes casos.

No caso da primeira amostra, este descarrega também um trojan via web para um possível futuro acesso (C&C – Command and Control).

De referir que ambas as amostras foram detectados pelos antivírus mais comuns.

Para uma análise mais técnica e mais aprofundada das amostras, podem acompanhar o desenvolvimento que submeti nas seguintes sandboxes:

Se por algum motivo instalou este software, é altamente recomendando contactar o seu banco e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Esta informação já foi enviada para o banco visado.