Estratégias clássicas, novas ameaças: grupos de cibercriminosos continuam investindo em ataques conhecidos e fazendo vítimas. Governo dos EUA é um dos alvos principais, especialmente em tempos de eleição.
O que você vai ler hoje:
- Malware da Emotet cria alertas falsos de atualização do Microsoft Office para infectar dispositivos
- Ataques de phishing exploram a eleição dos EUA para tentar roubar dados bancários
- Governo dos Estados Unidos divulga que foi hackeado em outubro
- Novo trojan de acesso remoto pode ser controlado pelo Telegram para executar funções complexas de extração de dados pessoais
Malware da Emotet cria alertas falsos de atualização do Microsoft Office para infectar dispositivos
Os cibercriminosos que controlam uma das ramificações de malware mais conhecidas do mundo estão adotando uma nova abordagem para atrair potenciais vítimas.
A nova campanha de e-mail do grupo explora um alerta falso do Windows Update para iniciar o processo de infecção. Os e-mails maliciosos não mencionam nada sobre atualização no assunto ou no corpo da mensagem; eles seguem estratégias consolidadas em 2020 e se restringem a tópicos de tendência como o COVID-19 ou baits comprovados, como avisos de remessa, faturas e currículos falsos.
Só depois de abrir os documentos anexos é que as vítimas são confrontadas com a falsa notificação de atualização.
A essa altura, porém, o PC do usuário ainda não foi infectado. A funcionalidade avançada exigida pelo Emotet e outros tipos de malware não é ativada até que o botão de “habilitar edição” seja clicado manualmente.
Para persuadir os usuários a ignorar o aviso da Microsoft e desativar o modo de exibição protegido, os cibercriminosos contam com truques de engenharia social. A maioria dos usuários tende a ignorar avisos dependendo de quem seja o remetente do e-mail, ou muitas vezes nem se atenta aos alertas.
E é assim que os invasores acessam os dispositivos sem grandes dificuldades.
Por isso, vale lembrar que a Microsoft não notifica sobre atualizações do Office dessa forma. Geralmente, o aplicativo exibe uma barra amarela no topo da página, com os dizeres “atualizações disponíveis”.
Ataques de phishing exploram a eleição dos EUA para tentar roubar dados bancários
Com a proximidade da eleição presidencial dos EUA, grupos de spam têm se mobilizado de forma massiva para não perder o timing e explorar assuntos relacionados ao registro de eleitores para induzir as vítimas a acessarem sites falsos, que se passam por sites oficiais do governo, e forneçam dados pessoais diversos.
Essas campanhas começaram em setembro e seguem em atividade até hoje, enquanto as iscas (o assunto do e-mail) ainda são relevantes.
Nesse sentido, as iscas dessas campanhas são relativamente simples e exploram o medo dos cidadãos dos EUA de que seu pedido de registro de eleitor possa ter falhado.
Usando linhas como "os detalhes do formulário de registro eleitoral não puderam ser confirmados" e "a secretaria do condado não conseguiu confirmar seu registro eleitoral", os usuários são atraídos para páginas falsas que solicita “um novo preenchimento do formulário de registro eleitoral”.
Se os usuários não perceberem a URL incorreta, eles acabarão fornecendo seus dados pessoais a um grupo de criminosos. Os dados geralmente coletados por meio desses formulários são:
- Nome
- Data de nascimento
- Endereço de correio
- Endereço de e-mail
- Número da Segurança Social (SSN)
- Informações da carteira de habilitação
Mas em um relatório de acompanhamento publicado na quinta-feira (22), a empresa de cibersegurança Proofpoint mostra que o grupo mudou suas táticas nos últimos dias.
Com o período pré-eleitoral chegando ao fim, os cibercriminosos se tornaram mais ousados. Além de solicitar informações de identificação pessoal específicas para formulários de registro de eleitores, o grupo agora expandiu seu escopo para incluir novos campos que também solicitam:
- Banco onde o usuário tenha conta-corrente
- Número da conta do banco
- Número de roteamento da conta bancária
- ID / nome de usuário do banco
- Senha da conta bancária
- Senhas de contas de e-mail
- Número de identificação do veículo (VIN)
Para acalmar os temores, os spammers afirmam que essas informações extras são necessárias para que os usuários possam reivindicar um "estímulo do governo".
Não se sabe ao certo quantos eleitores já caíram no golpe, mas, se os cibercriminosos estão insistindo neste tipo de ataque, é porque têm obtido algum retorno.
Governo dos Estados Unidos divulga que foi hackeado em outubro
Funcionários do governo estadunidense divulgaram os hacks sofridos pelos sistemas oficiais dos EUA em um comunicado conjunto de segurança, que foi publicado pela Agência de Segurança de Infraestrutura e Segurança Cibernética (CISA) e o Federal Bureau of Investigation (FBI).
As autoridades americanas identificaram o grupo de hackers russo responsável pelos ataques como Energetic Bear, um codinome usado pela indústria de segurança cibernética. Outros nomes para o mesmo grupo também incluem TEMP.Isotope, Berserk Bear, TeamSpy, Dragonfly, Havex, Crouching Yeti e Koala.
Também disseram que o grupo tem tido como alvo dezenas de redes governamentais estaduais, locais, territoriais e tribais (SLTT) desde fevereiro de 2020, no mínimo.
Além disso, as duas agências disseram que o Energetic Bear "comprometeu com sucesso a infraestrutura de rede e, em 1º de outubro de 2020, exfiltrou dados de pelo menos dois servidores do governo".
De acordo com o comunicado técnico, os hackers russos usaram vulnerabilidades publicamente conhecidas para violar o equipamento de rede, migrar para redes internas, elevar privilégios e roubar dados confidenciais.
Os dispositivos direcionados incluíram gateways de acesso Citrix (CVE-2019-19781), servidores de e-mail Microsoft Exchange (CVE-2020-0688), agentes de e-mail Exim (CVE 2019-10149) e Fortinet SSL VPNs (CVE-2018-13379).
Em situações em que os ataques foram bem-sucedidos, a CISA e o FBI disseram que os hackers tentaram extrair arquivos como:
- Configurações e senhas de rede confidenciais.
- Procedimentos operacionais padrão (SOP), como a inscrição na autenticação multifator (MFA).
- Instruções de TI, como solicitar redefinições de senha.
- Fornecedores e informações de compra.
- Impressão de crachás de acesso.
O Energetic Bear é o mesmo grupo de hackers que orquestrou o ataque ao aeroporto de San Francisco anteriormente este ano.
Novo trojan de acesso remoto pode ser controlado pelo Telegram para executar funções complexas de extração de dados pessoais
Um grupo de pesquisadores de cibersegurança descobriu um novo trojan de acesso remoto (RAT), que vem sendo divulgado em fóruns de hackers clandestinos, que se comunicam em russo.
Chamado de T-RAT, o malware está disponível por apenas 45 dólares e seu principal argumento de venda é a capacidade de controlar os sistemas infectados por meio de um canal do Telegram, em vez de um painel de administração hospedado na web.
Seu autor afirma que isso dá aos compradores acesso mais rápido e fácil aos computadores infectados de qualquer local, permitindo que os agentes de ameaças ativem recursos de roubo de dados assim que a vítima for infectada e antes de que a presença do RAT seja identificada.
Para isso, o canal no Telegram suporta 98 comandos que, quando digitados na janela principal de chat, permitem ao proprietário da RAT recuperar senhas e cookies do navegador, navegar no sistema de arquivos da vítima e pesquisar dados confidenciais, implantar um keylogger, gravar áudio pelo microfone, fazer capturas de tela da área de trabalho da vítima, tirar fotos via webcam e recuperar o conteúdo da área de transferência.
Além disso, o RAT também pode executar comandos de terminal (CMD e PowerShell), bloquear o acesso a certos sites (como antivírus e sites de suporte técnico), eliminar processos (software de segurança e depuração) e até mesmo desabilitar a barra de tarefas e o gerenciador de tarefas.
Mas o uso do Telegram como sistema de comando e controle não é tanta novidade; o aplicativo tem sido uma tendência nos últimos anos, e o T-RAT não é o primeiro RAT a implementar tal modelo.
Ameaças anterior incluem RATAttack (removido do GitHub em 2017, direcionado ao Windows), HeroRAT (direcionado a usuários de Android), TeleRAT (usado contra iranianos, mirando em usuários de Android), IRRAT (direcionado a usuários de Android), RAT-via-Telegram (disponível no GitHub, direcionado ao Windows) e Telegram-RAT (disponível no GitHub, direcionado ao Windows).
Mantenha sua rede e seus dispositivos seguros. Entre em contato com a assessoria de especialistas da Compugraf e veja como podemos te ajudar!
