Os Correios estão sendo usados como isca em um golpe que busca roubar as informações bancárias das vítimas. Por meio de uma mensagem que finge ser da empresa de logística, os cibercriminosos induzem os usuários a baixarem um malware. Após ser armazenado na máquina, o arquivo malicioso aguarda interações em sistemas de bancos.
A campanha maliciosa usa o nome dos Correios para disseminar o malware Vadokrist, um trojan bancário muito presente na América Latina. Segundo o site We Live Security (ESET), que detalhou como o golpe acontece, o Brasil é o segundo país da região com o maior número de detecções dessa ameaça.
Neste golpe, os cibercriminosos abordam a vítima por e-mail para tratar de uma encomenda que não teria sido entregue por conta da ausência do destinatário. A mensagem apresenta link do que seria um formulário do Sedex, que precisaria ser levado com outros documentos a um centro de distribuição dos Correios para receber a suposta encomenda.
Porém, o link leva a vítima a um site falso dos Correios, que tem URL bem diferente do endereço oficial. Para passar a impressão de que a página é verdadeira, os autores do golpe usam imagens do site da estatal nas áreas superior e inferior.
Após ser acessada, a página baixa um arquivo ZIP automaticamente. Dentro dele, há um instalador em formato MSI, criado para baixar conteúdos necessários ao funcionamento do Vadokrist. Para garantir que o golpe será concluído, a instalação exibe alertas de erro se não houver conexão com a internet ou se estiver rodando em uma máquina virtual.
O que é o Vadokrist
O Vadokrist é um trojan bancário, que, assim como seus equivalentes, tenta se ocultar na máquina. O arquivo malicioso atua para coletar dados pessoais quando o usuário interage com sistemas de bancos. Segundo a ESET, isso ocorre, por exemplo, ao exibir formulários falsos parecidos com os da instituição financeira em que a vítima é cliente.
Para capturar as informações, o malware tem recursos que o permitem manipular o mouse, gravar o que é digitado, fazer capturas de tela e forçar sua execução ao iniciar a máquina. Ele também é capaz de impedir o acesso a alguns sites no que seria uma forma de impedir que vítimas acessem suas contas bancárias após o roubo dos dados.
Fonte: https://tecnoblog.net/