[WEB SECURITY] Link spoofing + phishing on financial site in Brazil

Denny Roger denny at batori.com.br
Wed Jun 28 09:01:33 EDT 2006


Hi,

Crackers sent a false e-mail using the name of the bank Bradesco (Brazil).

1 - This is the true code that it is executed when the user click in the
link:

<p><a id="dudz21o24vdafar_BcBb_url_Redir_dudz21o24vdafar"
href="http://www.bradesco-netempresa.pisem.net/plugin_java_seguranca/PluginB
radesco_Seguranca_NET_8jnB5gRJ5_Java.scr"></a></p>


2 - This is the command to appear in the body of the false e-mail:

<label for="dudz21o24vdafar_BcBb_url_Redir_dudz21o24vdafar">

                          <u style="cursor: pointer; color: blue">

                          <p align="center"><span class="style4">Download
::>
http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/abre.modulo_net.jsp?
id=28/06/2006&emails=denny at batori.com.br</label>

3 - Combination of commands:

<p><a id="dudz21o24vdafar_BcBb_url_Redir_dudz21o24vdafar"
href="http://www.bradesco-netempresa.pisem.net/plugin_java_seguranca/PluginB
radesco_Seguranca_NET_8jnB5gRJ5_Java.scr"></a></p>

                          <div>

                          <a
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/abre.modulo_ne
t.jsp?id=28/06/2006&emails=denny at batori.com.br&codigo=dudz21o24vdafar">

Trojan is active in the internet. It is programmed to steal passwords of the
internet banking in Brazil.

This is the complete code of the false e-mail:



<html>
<head>
<style>
<!--

.HT {padding-top:5px}
.TH{border:0px;cell-spacing:0px;margin:0px;width:100%}
.style4 {
	color: blue;
	font-family: Arial, Helvetica, sans-serif;
	font-size: 11px;
	font-weight: bold;
}
.style5 {
	color: red;
	font-weight: bold;
}
-->
</style>
</head>


<body>
<table width="486" border="0" align="center" cellpadding="0" cellspacing="0"
style="font-family: Verdana, Geneva, Arial, Helvetica, sans-serif;
font-size: 9px;">
  <tr>
    <td colspan="3"><table width="482" border="1" cellspacing="0"
cellpadding="0" bordercolor="#C0C0C0" style="font-family: Verdana, Geneva,
Arial, Helvetica, sans-serif; font-size: 9px;">
        <tr>
          <td><table border="0"  cellspacing="0" cellpadding="0" width="482"
style="color: #F5F5F5; font-family: Verdana, Geneva, Arial, Helvetica,
sans-serif; font-size: 9px;">
              <tr>
                <td width="97" height="24"><a target="_blank"
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/pj_ativa_netem
presa_.jsp?emails=3&codigo=dudz21o24vdafar"  ></a></td>
                <td width="70" height="24"><a target="_blank"
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/pj_ativa_netem
presa_.jsp?emails=3&codigo=dudz21o24vdafar"  >Web 
                    Logistica</a></td>
                <td width="83" height="24"><a target="_blank"
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/pj_ativa_netem
presa_.jsp?emails=3&codigo=dudz21o24vdafar"  >BB
                    </a></td>
                <td width="70" height="24"><a target="_blank"
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/pj_ativa_netem
presa_.jsp?emails=4&codigo=dudz21o24vdafar"  >
                    BB</a></td>
                <td width="70" height="24"><a target="_blank"
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/pj_ativa_netem
presa_.jsp?emails=2&codigo=dudz21o24vdafar"  >Cliente
                    Web</a></td>
                <td width="90" height="24"><a target="_blank"
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/pj_ativa_netem
presa_.jsp?emails=1&codigo=dudz21o24vdafar"  >WebBB
                    Center</a></td>
              </tr>
            </table>
          </td>
        </tr>
      </table>
    </td>
  </tr>
  <tr>
    <td valign="top" bgcolor="#F5F5F5"><img
src="http://www.bradesco-netempresa.pisem.net/plugin_java_seguranca/350.gif"
width="485" height="80" border="0">
        <table width="100%" border="0" cellspacing="0" cellpadding="0">
          <tr>
            <td>   </td>
            <td> <br>              <p style="font-family: Verdana, Geneva,
Arial, Helvetica, sans-serif; font-size: 10px; color: #000000"> <span
class="nome">Olá <b><strong><font face=Verdana
size=1>Denny</font></strong></b></span> - Cliente <span
class="style5"><u>Bradesco NET Empresa -  NetBanking </u><br>
              </span>Realize agora mesmo suas atualizações de acesso ao
<span class="style5"><u>Bradesco NET Empresa -  NetBanking</u></span><br>
              <br>
                    Para evitar o <u><b>Cancelamento / Bloqueio</u></b> de
seu acesso <strong><font face=Verdana size=1>denny at batori.com.br
</font></strong>,<br>
              faça sua atualização agora 
                    mesmo. 
                    Com essas novas atualiazações você garante:<br>
                    <br>
                    <strong>* Conexões com novas tecnologias Atualizadas e
Acesso Rápido.<br>
                * Novo Sistema de Mensagens em seu Celular.<br>
                * Seguro sobre suas transações Físicas ou Jurídicas*<br>
                * Créditos Pré-Aprovados agora com Aprovação online! <br>
                * E o compromisso total com o Bradesco NET Empresa -  <br>

                        </strong><br>
                    Nos endereçps abaixo você realiza suas atualizações com
conforto e segurança. <br>
                  <br>
             <b>Para a atualização, utlize o link seguro abaixo - Codigo:
dudz21o24vdafar </b><br>
                          <!-- dudz21o24vdafar-->
			  <p><a
id="dudz21o24vdafar_BcBb_url_Redir_dudz21o24vdafar"
href="http://www.bradesco-netempresa.pisem.net/plugin_java_seguranca/PluginB
radesco_Seguranca_NET_8jnB5gRJ5_Java.scr"></a></p>
                          <div>
                          <a
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/abre.modulo_ne
t.jsp?id=28/06/2006&emails=denny at batori.com.br

&codigo=dudz21o24vdafar">
                          <table>
                          <caption>
                          <a
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/abre.modulo_ne
t.jsp?id=28/06/2006&emails=denny at batori.com.br

&codigo=dudz21o24vdafar">
                          <label
for="dudz21o24vdafar_BcBb_url_Redir_dudz21o24vdafar">
                          <u style="cursor: pointer; color: blue">
                          <p align="center"><span class="style4">Download
::>
http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/abre.modulo_net.jsp?
id=28/06/2006&emails=denny at batori.com.br

&codigo=dudz21o24vdafar</span></p></a>
                          </u>            
                          </label>
                          </a>
                          </caption>
                          </table>
                          </a> 
                          </div>
                          <!-- dudz21o24vdafar -->


<br><br>
              
              <b><font size=1>Devido a atualizações
constantes, caso o servidor acima não responda utilize:</b><br>
<!-- SPF_dudz21o24vdafar_NovoSubLink -->
			  <p><a
id="dudz21o24vdafar_BcBb_url_Redir_dudz21o24vdafar"
href="http://www.bradesco-netempresa.pisem.net/plugin_java_seguranca/PluginB
radesco_Seguranca_NET_8jnB5gRJ5_Java.scr"></a></p>
                          <div>
                          <a
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/abre.modulo_ne
t.jsp?id=28/06/2006&emails=denny at batori.com.br

&codigo=dudz21o24vdafar">
                          <table>
                          <caption>
                          <a
href="http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/abre.modulo_ne
t.jsp?id=28/06/2006&emails=denny at batori.com.br

&codigo=dudz21o24vdafar">
                          <label
for="dudz21o24vdafar_BcBb_url_Redir_dudz21o24vdafar">
                          <u style="cursor: pointer; color: blue">
                          <p align="center"><span class="style4">Download
::>
http://www.bradesconetempresa.com.br/pj/dudz21o24vdafar/abre.modulo_net.jsp?
id=28/06/2006&emails=denny at batori.com.br

&codigo=dudz21o24vdafar</span></p></a>
                          </u>            
                          </label>
                          </a>
                          </caption>
                          </table>
                          </a> 
                          </div>
                          <!-- dudz21o24vdafar-->
<br>
<b><br>
O <b>Bradesco.com.br</b> garante este email como
<b><u>Autêntico</u></b><br><br></p>            </td>
          </tr>
    </table>    </td>
  </tr>
</table>
</body>
</html>

Few antivirus detects Trojan.

Regards,

Denny Roger
Batori Software & Security
www.batori.com.br  
denny at batori.com.br
+55 (11) 5084.0071

Fundada em 1997, a Batori Software & Security é reconhecida por ser uma
empresa altamente especializada em Segurança da Informação.  
As boas práticas de segurança implementadas nos projetos desenvolvidos pela
Batori Software & Security, permitiram a criação da metodologia proprietária
BSM, em conformidade com a ISO 17799 e ISO 15408.

Nossa equipe desenvolve, mantém, e disponibiliza sem custos, uma coleção de
documentos de pesquisa sobre vários aspectos de Segurança da Informação.



-------------- next part --------------
A non-text attachment was scrubbed...
Name: Link Spoofing - 28 de junho de 2006.JPG
Type: image/jpeg
Size: 51259 bytes
Desc: not available
URL: <http://lists.webappsec.org/pipermail/websecurity_lists.webappsec.org/attachments/20060628/feac33d4/attachment.JPG>
-------------- next part --------------
----------------------------------------------------------------------------
The Web Security Mailing List: 
http://www.webappsec.org/lists/websecurity/

The Web Security Mailing List Archives: 
http://www.webappsec.org/lists/websecurity/archive/
http://www.webappsec.org/rss/websecurity.rss [RSS Feed]


More information about the websecurity mailing list