Pesquisadores de segurança rastrearam as atividades de um novo grupo de hackers motivados financeiramente que têm como alvo várias empresas e organizações na Alemanha, Itália e Estados Unidos, na tentativa de infectá-los com malware backdoor, Trojan bancário ou ransomware.
Embora as novas campanhas de malware não sejam personalizadas para cada organização, os atores de ameaças parecem estar mais interessados nos negócios, serviços de TI, manufatura e setores da saúde que possuem dados críticos e provavelmente podem pagar altos pagamentos de resgate.
De acordo com um relatório que o ProofPoint compartilhou com o The Hacker News, os atores de ameaças recém-descobertos estão enviando e-mails de baixo volume personificando entidades governamentais relacionadas a finanças com avaliação tributária e reembolsando e-mails atraídos para organizações-alvo.
“Campanhas de e-mail com temas fiscais alvos e iscas relacionadas a finanças têm sido usadas sazonalmente com melhorias em campanhas de malware e phishing relacionadas a impostos, levando aos prazos anuais de declaração de impostos em diferentes geografias”, disseram os pesquisadores.
Novas campanhas de malware detectadas com mesma natureza
Em quase todas as campanhas de spear-phishing que os pesquisadores observaram entre 16 de outubro e 12 de novembro deste ano, os atacantes usaram anexos maliciosos de documentos do Word como vetor inicial para comprometer o dispositivo.
Depois de aberto, o documento malicioso executa um script de macro para executar comandos maliciosos do PowerShell, que, por fim, baixa e instala uma das seguintes cargas úteis no sistema da vítima:
Maze Ransomware, Trojan bancário IcedID, Backdoor da greve de cobalto.
‘Abrir o documento do Microsoft Word e ativar macros instala o Maze ransomware no sistema do usuário, criptografando todos os arquivos e salva uma nota de resgate semelhante ao seguinte no formato TXT em todos os diretórios.’
Além de usar a engenharia social, para tornar seus e-mails de spear-phishing mais convincentes, os atacantes também estão usando domínios parecidos, verborragia e marcas roubadas para se passar por:
Bundeszentralamt fur Steuern, Ministério Federal das Finanças da Alemanha, Agenzia Delle Entrate, a agência de receita italiana,1 & 1 Internet AG, um provedor de serviços de internet alemão, USPS, Serviço Postal dos Estados Unidos.
“Campanhas semelhantes que alavancam agências governamentais locais também foram observadas na Alemanha e na Itália. Essas iscas de engenharia social indicam que os cibercriminosos em geral estão se tornando mais convincentes e sofisticados em seus ataques”.
“Embora essas campanhas sejam de pequeno volume, atualmente, elas são significativas pelo abuso de marcas confiáveis, incluindo agências governamentais, e por sua expansão relativamente rápida em várias regiões geográficas. Até o momento, o grupo parece ter organizações segmentadas na Alemanha, Itália, e, mais recentemente, os Estados Unidos, fornecendo cargas úteis com segmentação geográfica com iscas nos idiomas locais “, disse Christopher Dawson, líder de inteligência em ameaças da Proofpoint, ao The Hacker News.
“Estaremos observando esse novo ator de perto, dadas suas aparentes aspirações globais, engenharia social bem trabalhada e escala cada vez maior”.
Como proteger ataques cibernéticos baseados em email?
Embora a maioria das ferramentas e técnicas usadas por esse novo grupo não sejam novas nem sofisticadas; infelizmente, ainda é uma das maneiras mais bem sucedidas de criminosos penetrarem em uma organização.
As melhores maneiras de proteger seu computador contra esses ataques são tão simples quanto seguir as práticas básicas de segurança cibernética on-line, como:
Desative a execução de macros em arquivos do office,
Sempre mantenha um backup regular de seus dados importantes,
Certifique-se de executar um dos melhores softwares antivírus em seu sistema,
Não abra anexos de email de fontes desconhecidas ou não confiáveis,
Não clique nos links de fontes desconhecidas.
Este artigo é uma tradução de: https://thehackernews.com/2019/11/financial-cyberattacks.html
