A ESET (www.eset.pt) lança o alerta para uma nova ameaça que se encontra a circular na Internet e que utiliza a imagem dos CTT Expresso para disseminar uma variante do sofisticado troiano bancário Hesperbot. O Hesperbot foi detalhadamente analisado pelos laboratórios ESET (http://eset.pt/blog/2013/09/hesperbot-analise-tecnica-parte-1-de-2/), tendo sido em Setembro de 2013 lançado um alerta mundial acerca dos riscos deste malware extremamente complexo que incorpora funcionalidades de roubo baseadas no popular Zeus e SpyEye, com especial enfoque na sua presença em Portugal através de uma botnet.

A ameaça chega ao utilizador através de uma mensagem de e-mail indicando que não foi possível a entrega de uma determinada encomenda no seu endereço, sendo que para a poder receber terá de descarregar as informações acerca da mesma no site do CTT Expresso, imprimi-las e deslocar-se ao posto dos correios mais próximo.

email

Para que o utilizador sinta o impulso de concretizar esta acção o mais rapidamente possível, a mensagem de email falsa informa o cliente de que se o pacote não for recebido dentro de 30 dias úteis, os CTT irão cobrar 4,18 Euros por despesas de manutenção.

Quando a vítima dá um clique no botão download de informações é redireccionado para uma página de aspecto bastante fidedigno, à excepção do endereço que ao invés de www.ctt.pt é www.cctt.su.

site_1

Nesse site, uma cópia quase idêntica da página de pesquisa de objectos legítima do CTT Expresso, o utilizador é convidado a introduzir o código mostrado do lado esquerdo do formulário para ter acesso às informações do objecto. Se o código (captcha) não for correctamente introduzido, não irá prosseguir para o download das informações.

Após a introdução do código o utilizador chega a uma página onde é convidado a dar um clique em Download de Informações, que permitirá então descarregar um ficheiro Zip, com o nome “info_791d9671f5e2954af6a04cad8f8faa14.zip” que contém no seu interior um executável “Informacoes.exe”.

site_2

O método de engenharia social utilizado por este malware abrange todo o universo de utilizadores nacionais, considerando a abrangência do serviço de correios (ao invés da limitação de utilizadores de um determinado banco quando é utilizado este tipo de phishing) e desta forma a ESET Portugal recomenda a todos os utilizadores a máxima precaução na interpretação das mensagens email recebidas e aos links (neste caso www.ctt.su, ao invés do link para ao site legítimo www.ctt.pt ou www.cttexpresso.pt).

Os clientes das soluções ESET encontram-se protegidos contra este malware, sendo o link para a página imediatamente bloqueado impedindo o acesso à sua vizualização e o próprio ficheiro que possa ser descarregado também será bloqueado com a identificação “Win32/Spy.Hesperbot.L trojan”.

Comentários

  1. Eu hoje recebi este mail… MAS… hoje devo receber uma encomenda via CTT registada da qual até já tenho a referência CTT… costumo ser muito cuidadoso MAS com esta coincidência abri a mensagem à confiança CLICA, CLICA,(motivada pela tal coincidência) só não instalei porque o windows a bloqueou. ISTO PARECE MESMO COINCIDÊNCIA A MAIS.
    .:. SERÁ QUE O SITE DOS CTT TEM FUGA DE INFORMAÇÃO? Tenho confiança no remetente da encomenda.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*