HSBC Email Virus
Escrito por Tomas Meskauskas a (atualizado)
Guia de remoção do HSBC Email Virus
O que é HSBC Email Virus?
"HSBC Email Virus" é outra campanha de e-mail de spam semelhante à ADP Invoice, Barclays Secured Message, Sage Invoice e muitas outras. Esta campanha foi projetada para distribuir um vírus do tipo trojan chamado TrickBot. Os e-mails afirmam essencialmente que o pagamento em dinheiro não foi processado e incentiva os utilizadores a abrir um documento do MS Word em anexo para obter mais informações. É uma fraude - uma vez aberto, o anexo furtivamente descarrega e instala malware.
Em primeiro lugar, o HSBC é um dos maiores bancos do mundo e não tem nada a ver com essa campanha de spam. Os criminosos cibernéticos simplesmente ocultam-se atrás do nome para induzir os utilizadores desatentos a abrir o anexo. Como mencionado acima, o email declara que um pagamento não pode ser processado e incentiva o utilizador a abrir o documento em anexo e executar várias etapas para resolver esse problema. Como mencionado, isso é uma fraude. Os criminosos cibernéticos usam os nomes de empresas legítimas e agências governamentais, já que é muito mais simples induzir os utilizadores a abrir ficheiros recebidos de pessoas ou empresas com nomes familiares (neste caso, um grande banco). TrickBot é um vírus muito perigoso. Após a infiltração do sistema, sequestra os navegadores e modifica os sites visitados, para que os logins/palavras-passe inseridos sejam enviados para um servidor remoto controlado pelos desenvolvedores do TrickBot. Por isso, os criminosos cibernéticos podem obter acesso às contas pessoais da vítima, incluindo e-mail, rede social, bancos e assim por diante. Os criminosos cibernéticos pretendem gerar o máximo de rendimento possível e, portanto, há uma alta probabilidade de que essas pessoas tirem proveito de qualquer informação obtida. Portanto, a presença desse malware pode conduzir a perdas financeiras significativas e sérios problemas de privacidade. Se abriu recentemente anexos distribuídos por meio de uma campanha de spam "HSBC Email Virus", verifique imediatamente o sistema com um conjunto legítimo de antivírus/anti-spyware e elimine todas as ameaças detectadas.
| Nome | vírus de banco HSBC |
| Tipo de Ameaça | Trojan, vírus de roubo de palavras-passe, malware para bancos, spyware |
| Sintomas | Os trojans são projetados para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, assim, nenhum sintoma específico é claramente visível numa máquina infectada. |
| Métodos de distribuição | Anexos de e-mail infectados, anúncios on-line maliciosos, engenharia social, software pirateado. |
| Danos | Informações bancárias roubadas, palavras-passe, roubo de identidade, computador da vítima adicionado a um botnet. |
| Remoção | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Existem muitos vírus do tipo trojan que partilham semelhanças com o TrickBot (incluindo, por exemplo, LokiBot, Emotet, Adwind, e FormBook). Assim como com HSBC e-mail Virus, esses vírus também são distribuídos usando campanhas de spam. Além disso, a maioria dos trojans é projetada para registar informações pessoais. Alguns, no entanto, proliferam outros vírus (geralmente ransomware). De qualquer forma, todos representam uma ameaça direta à sua privacidade e segurança na navegação.
Como é que HSBC Email Virus infectou o meu computador?
Como mencionado acima, "HSBC Email Virus" distribui um documento malicioso do MS Word. Depois de abrir esse ficheiro, os utilizadores são incentivados a ativar comandos macro (caso contrário, o conteúdo não será exibido corretamente); no entanto, isso é um truque - ao ativar macros, os utilizadores permitem que o documento execute comandos que descarregam e instalam furtivamente o TrickBot. Esse método de distribuição, no entanto, tem uma falha importante - os documentos podem descarregar malware apenas se o utilizador os abrir usando o programa MS Word. Portanto, se o ficheiro for aberto usando qualquer outra aplicação, o malware não será descarregue. Além disso, o TrickBot visa apenas o sistema operacional Microsoft Windows - se estiver a usar outra plataforma, estará seguro.
Como evitar a instalação de malware?
A falta de conhecimentos dessas ameaças e o comportamento imprudente são as principais razões para infecções por computador - a chave para segurança é a precaução. Por isso, é muito importante prestar atenção ao navegar na Internet. Pense sempre duas vezes antes de abrir anexos de e-mail. Se o ficheiro parecer irrelevante ou tiver sido recebido de um endereço de email suspeito, nunca deverá ser aberto. 2010 e versões mais recentes do MS Office são desenvolvidas para abrir novos documentos no modo "Modo de exibição protegido". Isso impede o descarregamento e a instalação de malware. Portanto, o uso de versões antigas é arriscado. Também recomendamos enfaticamente que tenha um conjunto antivírus/anti-spyware respeitável instalado e em execução. Se já tiver aberto o anexo "HSBC Email Virus", recomendamos executar uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.
Texto apresentado na mensagem de email "HSBC Email Virus":
Assunto: Importante: Problemas ao processar o pagamento de BACs
Bom dia,
Estamos com problemas ao processar sua solicitação, encontramos um erro ao processar seu pagamento de BACs.
O que preciso fazer
1. Os documentos são entregues por e-mail seguro através de um ficheiro anexado do HSBC. Esteja ciente de que isso pode ser entregue na pasta de spam.
2. Quando abre o documento, será exibida uma mensagem dizendo que o documento requer verificação por telefone. Quando clica no botão Enviar código, um código será enviado para o seu móvel.
3. Digite esse código na caixa Código da ecrã e selecione OK. Agora poderá preencher os campos no documento, conforme necessário.
4. Note que a assinatura que carrega precisa ser uma versão clara e atual da sua assinatura padrão que, uma vez adicionada ao mandato do banco, pode ser usada para autorizar transações como o pagamento de fundos.
5. Ao preencher o formulário, verifique se os nomes completos, incluindo os nomes do meio, estão incluídos.
6. Quando o signatário final concluir e assinar os documentos, serão devolvidos a mim por e-mail seguro.
Com os melhores cumprimentos
James HolandEspecialista em processamento de transações | BACs de operações, pagamentos mais rápidos, CDD | O e-mail: James.Holand@hsbc.co.uk
Anexo malicioso distribuído através da campanha de spam "HSBC Email Virus":
Segunda variante do "HSBC Email Virus":
Text presented within this email:
Segunda variante da campanha HSBC Email Virus
Texto apresentado dentro deste email:
Assunto: Pagamentos CHAPS de alto valor recebidos
Bom dia,
Hoje recebemos 2 pedidos de pagamento de CHAPS de alto valor na filial hoje.
Preencha e assine os documentos anexados e retorne para processamento.
Exigimos essas informações antes que possamos liberar os pagamentos para sua conta.
Obrigado,
Olivia Brown BA (Hons) Cert (RBCB)
Banca comercial e gestão de patrimónios
HSBC BANK PLC HBEU
18 North Street, Leatherhead, Surrey KT22 7AR. South Region.
___________________________________________________________Telefone 08455928172
Email Olivia.Brown@hsbcemail.net************************************************************
HSBC Bank plc
Sede social: 8 Canada Square, London E14 5HQRegistado em Inglaterra - Número 14259
Autorizado pela Autoridade de Regulação Prudencial e regulamentado pelo
Autoridade de Conduta Financeira e Autoridade de Regulação Prudencial
************************************************************Este e-mail é confidencial
Pode também ser privilegiado. Se não for o destinatário, não poderá copiar, encaminhar, divulgar ou usar qualquer parte dele. Se recebeu esta mensagem por
engano, exclua-a e todas as cópias do seu sistema e notifique o remetente imediatamente retornando um e-mail.
Não é possível garantir que as comunicações na Internet sejam seguras, oportunas, livres de erros ou de vírus. O remetente não se responsabiliza por erros ou omissões.
Screenshot do anexo malicioso proliferou usando a segunda variante do "HSBC Email Virus":
Terceira variante do "HSBC Email Virus":
Texto apresentado dentro deste email:
Assunto: Verificação de conta
Verificação de conta
Caro Sr/Sra
Os ficheiros de revisão da conta foram emitidos a pedido do nosso cliente, faça o descarregamento no link abaixo:
hxxps://hsbcdocuments.net/.............
Os seus documentos foram encriptados com a encriptação mais forte e uma chave exclusiva. Por favor imprima e assine o documento em anexo.
Com os melhores cumprimentos,
Gestão Global de Pagamentos e Caixa
HSBC
Screenshot do anexo malicioso proliferou usando a segunda variante do "HSBC Email Virus":
Mais uma variante da campanha de spam por e-mail do HSBC:
Texto apresentado dentro deste email:
Bom dia, A Nossa Ref: WA3AEMIDLGB31.
Encontre uma cópia de pagamento em anexo, feita na conta da sua empresa em nome do nosso cliente, para o seu banco recebedor, datado de 10/04/2019. Por favor, confirme o pagamento e os detalhes de referência do cliente da cópia rápida do adido e conselhos em conformidade.
A aguardar a sua confirmação
Com os melhores cumprimentos,
David Wong Funds Transfer Dept., Business Banking, Eastern District, Commercial Banking The Hongkong and Shanghai Banking Corporation Limited (1-1SBC 14/F, Causeway Bay Plaza Two, 463-483 Lockhart Road, Causeway Bay, Hong Kong. Email: customerserviceeOhsbcpcom.hk web: hxxps://www.hsbc.com.hk
Screenshot do anexo malicioso do Microsoft Excel ("Paymentreceipt.xlsx"):
Mais uma variante da campanha de spam por e-mail do HSBC. Essa variante distribui o trojan de acesso remoto NanoCore e o anexo é "swift_274456.iso", que contém o ficheiro "swift_274456.exe".
Screenshot do email fraudulento:
Texto apresentado dentro deste email:
Cumprimentos.. O aviso de pagamento em anexo é emitido a pedido do nosso cliente. confirme o código do banco/corpo da conta,
Ultimamente, tentamos enviar esses fundos a você, mas sempre se recuperavam.
Este conselho é apenas para referência**
Com os melhores cumprimentos,
Gestão Global de Pagamentos e Caixa
HSBC UK
Skype: rick.tev2
Este não é um e-mail gerado automaticamente, por favor, TOME NOTA. A aguardar a sua resposta urgente para prosseguir novamente.
Dicas de segurança
1. Instale o software de detecção de vírus e o firewall pessoal no seu computador. Este software precisa ser atualizado regularmente para garantir que tenha a proteção mais recente.
2. Para evitar vírus ou outros problemas indesejados, não abra anexos de fontes desconhecidas ou não confiáveis.
3. Se descobrir alguma atividade incomum, entre em contato com o remetente desse pagamento o mais rápido possível.
Screenshot do anexo fraudulento:
| Nome | swift_274456.iso |
| Tipo de Ameaça | Trojan de acesso remoto, vírus de roubo de palavras-passe, malware para bancos, spyware |
| Nomes de Detecção | Antiy-AVL (Trojan[Dropper]/Win32.Sysn), McAfee (Artemis!9585B363E418), Microsoft (Trojan:Win32/Sonbokli.A!cl), Tencent (Win32.Trojan.Autoit.Auto), Lista Completa (VirusTotal) |
| Carga | NanoCore RAT |
| Sintomas | Os trojans são projetados para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, assim, nenhum sintoma específico é claramente visível numa máquina infectada. |
| Métodos de distribuição | Anexos de e-mail infectados, anúncios on-line maliciosos, engenharia social, software pirateado. |
| Danos | Informações bancárias roubadas, palavras-passe, roubo de identidade, computador da vítima adicionado a um botnet. |
| Remoção | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é HSBC Email Virus?
- PASSO 1. Manual removal of TrickBot malware.
- PASSO 2. Check if your computer is clean.
Como remover o malware manualmente?
A remoção manual de malware é uma tarefa complicada - geralmente é melhor permitir que programas antivírus ou anti-malware façam isso automaticamente. Para remover este malware, recomendamos o uso de Combo Cleaner. Se deseja remover malware manualmente, a primeira etapa é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, a usar o gestor de tarefas e identificou um programa que parece suspeito, deve continuar com estas etapas:
Descarregue um programa denominado Autoruns. Este programa mostra as aplicações de inicialização automática, o Registo e os locais do sistema de ficheiros:
Reinicie o computador no modo de segurança:
Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo Seguro. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo Segurança com Rede da lista.
O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"
Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.
O vídeo demonstra como começar Windows 8 "Modo de Segurança com Rede":
Utilizadores Windows 10: Clique no logotipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas". No menu de opções avançadas, selecione "Startup Settings" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operacional em modo de segurança com rede.
O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":
Extraia o ficheiro descarregue e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Opções" na parte superior e desmarque as opções "Ocultar locais vazios" e "Ocultar entradas do Windows". Após este procedimento, clique no ícone "Atualizar".
Verifique a lista fornecida pelo aplicação Autoruns e localize o ficheiro de malware que deseja eliminar.
Deve anotar o caminho completo e o nome. Observe que alguns malwares ocultam seus nomes de processos em nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover clique com o mouse sobre o nome dele e escolha "Excluir"
Depois de remover o malware por meio do aplicação Autoruns (isso garante que o malware não seja executado automaticamente na próxima inicialização do sistema), deve procurar o malware name em seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware,
Inicie o seu computador no Modo Seguro. Seguir estes passos deve ajudar a remover qualquer malware do seu computador. Observe que a remoção manual de ameaças requer habilidades avançadas de computação. Se não tiver essas habilidades, deixe a remoção de malware para programas antivírus e anti-malware. Essas etapas podem não funcionar com infecções avançadas por malware. Como sempre, é melhor prevenir a infecção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, certifique-se de instalar as atualizações mais recentes do sistema operacional e de usar o software antivírus.
Para garantir que o seu computador esteja livre de infecções por malware, recomendamos analisá-lo com Combo Cleaner.
Excelente!
▼ Mostrar comentários