A mensagem de correio eletrónico que remete para a "Fatura Eletrónica Disponível" voltou a inundar as caixas de email de muitos utilizadores. Se está entre os remetentes tenha cuidado e não abra o link.
O TeK já tinha noticiado este ataque de phishing no início do mês de maio, alertando para o nível de perigo envolvido e o facto de abrir portas a ataques aos serviços online de vários bancos portugueses.
Na altura contactámos o CERT.pt que validou o risco destas mensagens destinadas a um número elevado de utilizadores - neste caso os clientes da elétrica - e a EDP, que assumiu estar atenta e a atuar com os meios possíveis para estes casos.
Mas nos últimos dias a intensidade das mensagens de email voltou a aumentar. E se alguns dos links enviados já foram desativados, outros mantêm-se em funcionamento, o que cria riscos de instalação de trojans bancários no computador dos utilizadores menos prevenidos.
Contactado pelo TeK, David Sopas, especialista em segurança informática e gestor do site WebSegura.net, analisou o malware que está no link que circula nos emails de phishing que depois de descompactado está em formato CPL (Control Panel Extension).
O próprio ficheiro é detetado pela maioria dos antivirus, mas este formato tem sido muito utilizado nos últimos meses em trojans bancários no Brasil. A partilha da língua faz com que os portugueses sejam também cada vez mais visados neste tipo de ataques.
"O aumento de ficheiros infetados em CPL acontece porque maioria dos utilizadores desconhece este formato e não pensa nos perigos que podem levar. No entanto, uma das razões principais para os utilizadores maliciosos utilizarem este tipo de ficheiros é a possibilidade de encriptação em diversas camadas do conteúdos destes ficheiros.
Desta forma, torna a tarefa mais difícil aos antivirus e aos filtros de clientes de email", explica David Sopas. Os ficheiros CPL são applets utilizados no Painel de Controlo do Windows. Se um utilizador menos atento correr o ficheiro infectado, o malware executa a função CPlApplet() do sistema operativo que posteriormente executa funções típicas de um spyware, monitorizando tudo o que possa ser confidencial e mantendo uma porta aberta a futuras intrusões.
A análise das amostras permite verificar que o ficheiro hosts do sistema operativo é alterado o que faz com que a vítima, ao entrar no site do seu banco, esteja realmente a entrar num site falso, mascarado para parecer idêntico ao real.
O malware permite também fazer capturas de ecrã, monitoriza as teclas pressionadas e consegue ler blocos de memória, pelo que depois de infetado o computador todas as actividades podems er monitorizadas.
O TeK já contactou a EDP que ainda não voltou a pronunciar-se sobre este novo ataque.
Do lado dos bancos já há alguns alertas visíveis nos sites de ebanking, que estão atentos a esta situação já que o malware visa diretamente os clientes de serviços de banca online.
Entre as recomendações normais para evitar cair neste tipo de fraude fica a nota para não aceder a links suspeitos. Basta passar o rato sobre a hiperligação para ver o endereço real que muitas vezes está oculto e disfarçado.
A análise atenta das mensagens recebidas, desde o remetente ao conteúdo faz também parte das melhores recomendações, assim como a utilização de um antivirus atualizado, embora neste caso se revele inútil para filtrar esta ameaça.
Escrito ao abrigo do novo Acordo Ortográfico