​Introdução

O COSI tomou conhecimento de uma variante do vírus WIN32/SPY.HESPERBOT, que captura dados pessoais (nomes de utilizadores e passwords) dos utilizadores infestados.

Forma de ataque

Esta campanha de infeção usa a imagem dos CTT para a disseminação do ficheiro infetado, através do envio de uma mensagem de correio eletrónico. Desta forma, vários clientes da CTT Expresso têm recebido mensagens de correio eletrónico, supostamente emitidas pela própria CTT Expresso em que o assunto é "(nome), você tem uma pacote", indicando que a empresa não foi bem sucedida na entrega de uma encomenda por "erro no endereço de entrega".
A mensagem contém um link para um site malicioso que se apresenta como uma réplica quase idêntica à página Web dos CTT (embora o endereço, por exemplo, não termine em .pt). Nela o utilizador é convidado a introduzir um código (exibido no lado esquerdo do formulário) para poder aceder às informações sobre a falsa encomenda.
Ao introduzir corretamente o código, a vítima é conduzida a uma página onde é convidada a clicar em "Download de Informações", o que irá descarregar um ficheiro .Zip que, no seu interior, inclui um executável chamado "informações.exe".
As mensagens de correio eletrónico desta campanha têm o conteúdo semelhante à seguinte imagem:

 Medidas Reativas

• Caso tenha executado o ficheiro disponibilizado, deverá proceder à atualização do seu software de antivírus, seguido da execução de uma pesquisa de antivírus completa no seu sistema.
• Deve o utilizador igualmente mudar as suas credenciais de acesso ao homebanking bem como a contas de email e outras credenciais de âmbito confidencial, mas num computador que não esteja infetado.

 Medidas Proativas:

• Não faça download de ficheiros nem instale nada proveniente de fontes não seguras.
• Garantir um backup atualizado dos dados importantes num sistema isolado, de preferência não acessível via rede para não comprometer os dados já existentes.
• Garantir o antivírus ativo e atualizado
• Garantir o sistema operativo atualizado
• Garantir que o Adobe Flash, Reader e o Java estão atualizados.
• Utilização de credenciais de acesso robustas (tanto nomes de utilizador como passwords). Deve ser aplicada combinações de letras, números e símbolos e deve ser evitada a utilização de palavras existentes em dicionários linguísticos.
• Se possível, utilizar outro browser (por exemplo o Google Chrome ou o Safari) que já possua medidas de bloqueio de alguns elementos caso estes não estejam atualizados.

Para mais informação, consulte a nossa àrea de Sensibilização.