.
Uma atual campanha de phishing assusta os destinatários, fazendo-os acreditar que foram demitidos, quando na realidade foram hackeados – e infectados com infostealers e outros malwares, o que significa um dia de pagamento para os criminosos por trás do golpe.
O ataque começa com um e-mail que parece ser um aviso legal informando aos destinatários que seu emprego foi rescindido
Embora não seja incomum os golpistas brincarem com os medos das pessoas – desastres naturais, a pandemia de COVID-19 (em 2020), eleições ou outros tópicos polêmicos frequentemente aparecem como iscas de phishing – induzindo as pessoas a clicarem em um link malicioso porque pensam que foram enlatados “é brutal”, disse Blake Darché, chefe do Cloudforce One e inteligência de ameaças da Cloudflare.
“Esta é a época do ano em que a economia desacelera e os agentes da ameaça estão se aproveitando disso”, disse ele. O Registro.
Darché nos disse que sua equipe viu 14 de seus clientes serem alvo desta campanha emergente de phishing em setores como aeroespacial, seguros, governo estadual, eletrônicos de consumo, viagens e educação.
Os phishing vieram de quatro endereços de e-mail diferentes. A Cloudflare não atribuiu o ataque, mas assume que os quatro controles são controlados por um único ator.
“Com base no que vimos, parece ser um ator motivado financeiramente”, observou Darché. “Eles estão tentando obter informações dos hosts, fazer login em contas e roubar informações.”
Em um desses golpes interceptados pela Cloudflare, o e-mail usa o assunto “Ação necessária: Processos judiciais contra você” e inclui o brasão de armas do Reino Unido e um número de processo do Tribunal de Trabalho do país.
“Este documento é extremamente urgente e requer sua ação imediata”, alerta o e-mail. “O não cumprimento das instruções pode resultar em graves consequências jurídicas.”
Os destinatários também são incentivados a pressionar o botão “Baixar documento agora” para acessar informações relevantes.
O link, é claro, não leva a nenhum documento oficial do Tribunal. Em vez disso, ele abre um site falso da Microsoft repleto de malware.
O golpe só funciona em máquinas Windows. Se o destinatário tentar clicar no link em um Mac ou iPhone, ele verá um banner na parte superior que diz: “Este arquivo não pode ser aberto neste dispositivo. Acesse-o em um dispositivo Windows para visualizar o documento.”
Além de usar o logotipo e a marca da Microsoft para parecer legítimo, esse ataque centrado em Redmond ajuda o invasor a contornar os controles de segurança porque a vítima deve recuperar o arquivo carregado de malware por meios mais indiretos – ele não é enviado diretamente por e-mail.
O falso documento judicial é um arquivo RAR que contém um script malicioso do Visual Basic chamado “Processo Trabalhista.vbs” ou “Labor Lawsuit.vbs”. Quando executado, ele baixa um arquivo de texto codificado em Base64 (file4.txt), salva-o no sistema agora infectado e, em seguida, executa malware adicional.
Em pelo menos uma instância detectada pela Cloudflare, isso incluía malware Ponteiro [PDF] – um trojan bancário que rouba credenciais de sites financeiros.
“Os atores da ameaça estão ansiosos para tentar impulsionar o engajamento e estão sempre repetindo como fazer isso”, explicou Darché, acrescentando que só porque estão usando e-mail para esse golpe de engenharia social agora não significa que não ganharão. pivotar em algum momento no futuro.
“Eles podem usar outro serviço, como o LinkedIn ou o Facebook, para atingir seus objetivos”, disse ele. Esse objetivo é ganhar dinheiro. “E eles estão sempre ansiosos para tirar vantagem das pessoas.” ®
.
