O Hesperbot foi detalhadamente analisado pelos laboratórios ESET (http://eset.pt/blog/2013/09/hesperbot-analise-tecnica-parte-1-de-2/), tendo sido em Setembro de 2013 lançado um alerta mundial acerca dos riscos deste malware extremamente complexo que incorpora funcionalidades de roubo baseadas no popular Zeus e SpyEye, com especial enfoque na sua presença em Portugal através de uma botnet.

A ameaça chega ao utilizador através de uma mensagem de e-mail indicando que não foi possível a entrega de uma determinada encomenda no seu endereço, sendo que para a poder receber terá de descarregar as informações acerca da mesma no site do CTT Expresso, imprimi-las e deslocar-se ao posto dos correios mais próximo.

Para que o utilizador sinta o impulso de concretizar esta acção o mais rapidamente possível, a mensagem de email falsa informa o cliente de que se o pacote não for recebido dentro de 30 dias úteis, os CTT irão cobrar 4,18 euros por despesas de manutenção.

Quando a vítima dá um clique no botão download de informações é redireccionado para uma página de aspecto bastante fidedigno, à excepção do endereço que ao invés de www.ctt.pt é www.cctt.su.

Nesse site, uma cópia quase idêntica da página de pesquisa de objectos legítima dos CTT Expresso, o utilizador é convidado a introduzir o código mostrado do lado esquerdo do formulário para ter acesso às informações do objecto. Se o código (captcha) não for correctamente introduzido, não irá prosseguir para o download das informações.

Após a introdução do código o utilizador chega a uma página onde é convidado a dar um clique em Download de Informações, que permitirá então descarregar um ficheiro Zip, com o nome «info_791d9671f5e2954af6a04cad8f8faa14.zip» que contém no seu interior um executável «Informacoes.exe».

O método de engenharia social utilizado por este malware abrange todo o universo de utilizadores nacionais, considerando a abrangência do serviço de correios (ao invés da limitação de utilizadores de um determinado banco quando é utilizado este tipo de phishing) e desta forma a ESET Portugal recomenda a todos os utilizadores a máxima precaução na interpretação das mensagens email recebidas e aos links (neste caso www.ctt.su, ao invés do link para ao site legítimo www.ctt.pt ouwww.cttexpresso.pt).

Os clientes das soluções ESET encontram-se protegidos contra este malware, sendo o link para a página imediatamente bloqueado impedindo o acesso à sua visualização e o próprio ficheiro que possa ser descarregado também será bloqueado com a identificação «Win32/Spy.Hesperbot.L trojan».