Nova campanha de Spam

Nova campanha de spam maliciosa detectada, fornecendo malware – incluindo ransomware, cavalos de Troia bancários e backdoors – às vítimas em diferentes regiões geográficas.

Essas campanhas são interessantes porque todas elas usam domínios parecidos e marcas roubadas de várias agências governamentais, cada uma ligada especificamente aos países que são direcionados para dar um senso de legitimidade local e urgência às suas mensagens.

Eles têm como alvo as organizações de serviços de TI, manufatura e assistência médica que usam essas agências governamentais falsificadas para convencer os usuários a ler esses e-mails e abrir seus anexos.

Campanha de Spam

Campanha de Spam lançada por organizações

nova campanha de spam

Em paralelo, enquanto a fonte das campanhas ainda está sendo analisadas, alguns pesquisadores de ameaças afirmaram: “campanhas de spam estão sendo lançadas e coordenadas por uma única organização criminosa”.

Nos Estados Unidos, cibercriminosos estão enviando e-mails fingindo ser do Serviço Postal dos Estados Unidos (USPS), com um documento malicioso do Word chamado ‘USPS_Deliver.doc’ anexado. 

Além de descrever o anexo como urgente, o texto também induz o usuário a pensar que o documento está criptografado e deve ser aberto para ser lido.

Como seria de esperar, a abertura do documento permite uma macro maliciosa que instala o Trojan bancário IceID no computador da vítima e tenta roubar suas credenciais bancárias online.

Na campanha de Spam que visa a Alemanha , os autores das ameaças se disfarçam como o Bundeszentralamt fur Steuern, o Ministério das Finanças alemão. Nesse caso, os atores estão usando uma ferramenta de software licenciada comercialmente, Cobalt Strike. 

Essa ferramenta emula o tipo de estrutura de backdoor usada pela ferramenta de penetração, Metasploit

Mais uma vez, o agente da ameaça tenta convencer o destinatário de que o documento malicioso anexado é legítimo e importante, e que a única maneira de visualizá-lo é habilitar o conteúdo.

Na campanha de Spam direcionada à Itália , os autores representam a Agência de Receita Italiana, Agenzia Delle Entrate. Nesta campanha, eles fingem que o email e a carta anexa são sobre novas diretrizes de impostos e receita que as empresas e os consumidores precisam seguir e recomendam que eles abram o anexo – o que, é claro, é malicioso.

Usuários Desavisados

Mascarar-se como uma agência governamental é especialmente eficaz para induzir usuários desavisados ​​a abrir anexos maliciosos. Nesta campanha incomum, os maus atores desenvolveram mensagens elaboradas, sites parecidos e outros conteúdos para diversas agências de diferentes países. 

Observe que eles então usam estratégias direcionadas para garantir que os indivíduos incluídos em uma campanha de Spam sejam dos respectivos países, embora alguns cruzamentos não devam denunciar vítimas, pois as agências de cada campanha são únicas.

Mantenha-se alerta

Os usuários devem suspeitar quando veem emails de agências governamentais, pois geralmente usam apenas os sistemas postais tradicionais para interagir com os cidadãos. 

Tenha precaução em seu ambiente com soluções de segurança cibernética bem posicionadas em instituições como, NSS Labs

Dê uma atenção especial para informações supostamente sobre restituições de impostos, já que os governos quase nunca enviam esse tipo de comunicação sensível por email, certamente não no Brasil. 

Saiba que cibercriminosos são inteligentes, no entanto, sabem que essas táticas de engenharia social funcionam porque muitas de suas vítimas desconhecem essas políticas de comunicação.

Como sempre, tenha cuidado e nunca abra um anexo inesperado. Em caso de dúvida, o melhor caminho é ligar diretamente para a agência para confirmar que o email é legítimo.

Mitigações

O FortiGuard Labs possui as seguintes detecções para lidar com essas campanhas de Spam.

Filtragem da Web

Os laboratórios FortiGuard classificaram todos os domínios relacionados aos e-mails de phishing identificados neste relatório como URLs de spam / sites maliciosos em nossa categoria.

FortiMail

O FortiMail identifica e bloqueia essas campanhas de Spam de engenharia social com as seguintes assinaturas AV:

  • VBA / Agent.5751! Tr.dldr
  • VBA / Agent.68D6! Tr.dldr
  • VBA / Agent.QHD! Tr
  • VBA / Agent.UB! Tr

Matéria Original em Inglês aqui.

Está gostando do conteúdo? Compartilhe!

PT