Pesquisadores da Trend Micro descobriram um malware bancário que funciona apenas quando o idioma do alvo é definido como português, o que significa que provavelmente foi projetado para atingir usuários no Brasil e/ou em Portugal. O ataque começa com um e-mail malicioso, aparentemente dos Correios, notificando o destinatário alvo de uma tentativa de entrega malsucedida. Em seguida, menciona que os detalhes (incluindo o código de acompanhamento) da entrega podem ser acessados por meio de um link disponibilizado no próprio e-mail.
Segundo a empresa de cibersegurança, o malware abusa de dois arquivos legítimos do Windows – a ferramenta de linha de comando wmic.exe e certutil.exe, um programa que gerencia certificados no Windows – para baixar o payload no computador da vítima.
O que se deve notar sobre estes arquivos é que eles são usados para baixar outros arquivos como parte da sua funcionalidade, fazendo eles serem sucessíveis à serem utilizados de forma maliciosa.
Uma vez que o destinatário clica no link incorporado no e-mail falso, ele abrirá uma janela do navegador que solicitará ao usuário que baixe um arquivo ZIP. Logo que baixado e extraído, o usuário receberá um arquivo malicioso que executará comandos de script de um servidor de Comando e Controle.
“Esta ameaça revela uma campanha clássica de phishing. Constatamos mais de 450 empresas que receberam este ataque, resultando em milhares de computadores infectados. Deve-se ter atenção redobrada ao receber e-mails, por mais legítimos que eles pareçam, pois o vetor de ataque mais fácil de ser explorado é o fator humano”, explicou Leandro Froes, especialista em cibersegurança na Trend Micro.
Como se prevenir de ciberataques
O uso de arquivos legítimos para adicionar mais camadas de evasão é uma tática comum dos cibercriminosos, o que dificulta para algumas soluções de segurança que lutam para distinguir o uso legítimo dos mal-intencionados. Ainda mais que, segundo análise dos cientistas da Trend Micro, os cibercriminosos por trás disto estão melhorando suas ferramentas e técnicas para serem mais silenciosas e efetivas. No entanto, para impedir que esse ataque ultrapasse seu estágio inicial, a Trend Micro recomenda que os usuários implementem as seguintes práticas:
Verificar várias vezes a identidade e o endereço de e-mail do remetente. Qualquer endereço de e-mail suspeito que contenha números aleatórios ou textos sem nexo é um indicador de um possível ataque de spam ou phishing.
Analise o email em busca de erros gramaticais ou ortográficos. E-mails comerciais, especialmente aqueles de grandes organizações ou instituições governamentais, geralmente são feitos profissionalmente e com poucos erros, se houver.
Evite clicar em links ou baixar arquivos em geral, especialmente se o link ou anexo tiver um nome ou endereço genérico.
