Phishing ao Banco Santander

por David Sopas em 11 de Agosto de 2011 em Artigos com 0 comentários Tweet

Recentemente, recebi duas amostras de campanhas que têm como objectivo efectuar phishing às contas dos clientes do Banco Santander.

Segundo os endereços IP’s dos remetentes, do português utilizado, dos endereços de alojamento e dos nomes de variáveis utilizadas, tudo aponta ser um ataque de origem brasileira.

Cabeçalho da 1ª amostra:

Received: from mx-ccr.cristorei.com.br ([200.162.160.111]) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from [email protected]) id 1QrMjl-000vfq-90 for [email protected]; Thu, 11 Aug 2011 05:19:18 +0100
Received: from [192.168.1.4] (unknown [187.59.59.80]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id 611C81E9408; Thu, 11 Aug 2011 01:07:30 -0300 (BRT)
Return-Path: [email protected]
From: “Santander S.A.” [email protected]
To: [email protected]
Subject: Comunicado!

Cabeçalho da 2ª amostra:

Received: from [200.162.160.111] (helo=mx-ccr.cristorei.com.br) by vs01.rede1024.com with esmtps (TLSv1:AES256-SHA:256) (Exim 4.69) (envelope-from [email protected]) id 1QqzSO-001mLE-U7 for [email protected]; Wed, 10 Aug 2011 04:27:49 +0100
Received: from [192.168.0.166] (189.114.195.73.dynamic.adsl.gvt.net.br [189.114.195.73]) by mx-ccr.cristorei.com.br (Postfix) with ESMTP id C0AAA1E98C1; Wed, 10 Aug 2011 00:26:58 -0300 (BRT)
Return-Path: [email protected]
From: “Sanatander S.A.” [email protected]
To: [email protected]
Subject: Comunicado!

Após o utilizador efectuar o download e executar a aplicação, este vai requisitar informação bancária, que posteriormente, é enviado via método POST para um ficheiro PHP alojado num servidor web comprometido. Este processo é muito habitual nestes casos.

No caso da primeira amostra, este descarrega também um trojan via web para um possível futuro acesso (C&C - Command and Control).

De referir que ambas as amostras foram detectados pelos antivírus mais comuns.

Para uma análise mais técnica e mais aprofundada das amostras, podem acompanhar o desenvolvimento que submeti nas seguintes sandboxes:

  • ThreatExpert
  • Anubis

Se por algum motivo instalou este software, é altamente recomendando contactar o seu banco e instalar software de remoção de malware, como por exemplo o Malwarebytes.

Esta informação já foi enviada para o banco visado.

Achaste interessante? Partilha!
    David Sopas
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.
    Tagged: , , , , ,

    Que tal participar com o seu comentário?