Malware bancário utiliza falso e‑mail dos Correios para atacar brasileiros

PorAlexandre Porfírio — Tríade da Riqueza Digital

Malware bancário utiliza falso e-mail dos Correios para atacar brasileiros

Pesquisadores da Trend Micro desco­bri­ram um mal­ware bancário que fun­ciona ape­nas quan­do o idioma do alvo é definido como por­tuguês, o que sig­nifi­ca que provavel­mente foi pro­je­ta­do para atin­gir usuários no Brasil e/ou em Por­tu­gal. O ataque começa com um e‑mail mali­cioso, aparente­mente dos Cor­reios, noti­f­i­can­do o des­ti­natário alvo de uma ten­ta­ti­va de entre­ga mal­suce­di­da. Em segui­da, men­ciona que os detal­h­es (incluin­do o códi­go de acom­pan­hamen­to) da entre­ga podem ser aces­sa­dos por meio de um link disponi­bi­liza­do no próprio e‑mail.

Segun­do a empre­sa de ciberse­gu­rança, o mal­ware abusa de dois arquiv­os legí­ti­mos do Win­dows — a fer­ra­men­ta de lin­ha de coman­do wmic.exe e certutil.exe, um pro­gra­ma que geren­cia cer­ti­fi­ca­dos no Win­dows – para baixar o pay­load no com­puta­dor da víti­ma.

O que se deve notar sobre estes arquiv­os é que eles são usa­dos para baixar out­ros arquiv­os como parte da sua fun­cional­i­dade, fazen­do eles serem sucessíveis à serem uti­liza­dos de for­ma mali­ciosa.

Uma vez que o des­ti­natário cli­ca no link incor­po­ra­do no e‑mail fal­so, ele abrirá uma janela do nave­g­ador que solic­i­tará ao usuário que baixe um arqui­vo ZIP. Logo que baix­a­do e extraí­do, o usuário rece­berá um arqui­vo mali­cioso que exe­cu­tará coman­dos de script de um servi­dor de Coman­do e Con­t­role.

“Esta ameaça rev­ela uma cam­pan­ha clás­si­ca de phish­ing. Con­stata­mos mais de 450 empre­sas que rece­ber­am este ataque, resul­tan­do em mil­hares de com­puta­dores infec­ta­dos. Deve-se ter atenção redo­bra­da ao rece­ber e‑mails, por mais legí­ti­mos que eles pareçam, pois o vetor de ataque mais fácil de ser explo­rado é o fator humano”, expli­cou Lean­dro Froes, espe­cial­ista em ciberse­gu­rança na Trend Micro.

Como se prevenir de ciberataques

O uso de arquiv­os legí­ti­mos para adi­cionar mais camadas de evasão é uma táti­ca comum dos ciber­crim­i­nosos, o que difi­cul­ta para algu­mas soluções de segu­rança que lutam para dis­tin­guir o uso legí­ti­mo dos mal-inten­ciona­dos. Ain­da mais que, segun­do análise dos cien­tis­tas da Trend Micro, os ciber­crim­i­nosos por trás dis­to estão mel­ho­ran­do suas fer­ra­men­tas e téc­ni­cas para serem mais silen­ciosas e efe­ti­vas. No entan­to, para impedir que esse ataque ultra­passe seu está­gio ini­cial, a Trend Micro recomen­da que os usuários imple­mentem as seguintes práti­cas:

Ver­i­ficar várias vezes a iden­ti­dade e o endereço de e‑mail do reme­tente. Qual­quer endereço de e‑mail sus­peito que con­tenha números aleatórios ou tex­tos sem nexo é um indi­cador de um pos­sív­el ataque de spam ou phish­ing.

Analise o email em bus­ca de erros gra­mat­i­cais ou ortográ­fi­cos. E‑mails com­er­ci­ais, espe­cial­mente aque­les de grandes orga­ni­za­ções ou insti­tu­ições gov­er­na­men­tais, geral­mente são feitos profis­sion­al­mente e com poucos erros, se hou­ver.

Evite clicar em links ou baixar arquiv­os em ger­al, espe­cial­mente se o link ou anexo tiv­er um nome ou endereço genéri­co.

Posts Similares