E-mails de spam e phishing não são as únicas ameaças que você pode encontrar em sua caixa de entrada. Os cibercriminosos ainda estão usando os bons e velhos links para malware.

  Quando conversamos sobre roubo de credenciais, as mensagens de e-mail com links de phishing tendem a aparecer logo de cara. No entanto, essas mensagens representam apenas um meio de obter nomes de usuário e senhas para vários serviços online. Os golpistas também enviam links para spyware regularmente. Um truque que eles usam para disfarçar esses links é incluir uma imagem que parece ser um anexo.

Email com um link malicioso

Hoje, estamos diante de um ataque direcionado por e-mail. Os cibercriminosos em questão deram credibilidade ao seu e-mail, enviando um RFQ (sigla em inglês para pedido de orçamento) a um prestador de serviços industriais e vendedor de equipamentos, com as orientações em anexo. As indústrias recebem essas solicitações com bastante frequência, e os gerentes de conta normalmente abrem o documento de orientação e preparam uma proposta, ignorando quaisquer pequenas discrepâncias, como diferenças entre o nome de domínio e a assinatura do remetente. O que nos interessa, aqui, é como os cibercriminosos fazem com que os destinatários executem o malware. Esta é a aparência do e-mail.

  Analise o exemplo do PDF acima. Como pode ter percebido, o que você está olhando não é um anexo de forma alguma. O Outlook exibe anexos de e-mail como este, mas aqui você encontrará uma série de diferenças: ● O ícone do anexo deve corresponder ao aplicativo associado aos arquivos PDF em seu sistema. Caso contrário, não é um anexo ou o que quer que esteja anexado não é um arquivo PDF; ● Detalhes sobre o arquivo – nome, tipo, tamanho – devem aparecer se você passar o mouse sobre um anexo real. Em vez disso, você não deveria ver um link para algum site com alto risco potencial; ● A seta ao lado do nome do arquivo deve ser destacada e funcionar como um botão que abre um menu de contexto; ● O anexo deve aparecer em um bloco separado, não no corpo do e-mail, algo assim:

  Na verdade, esse objeto disfarçado como um anexo de PDF é apenas uma imagem comum. Se você tentar selecionar partes da mensagem com o mouse ou usar Ctrl-A para selecionar tudo, isso ficará aparente.

  A imagem esconde um hiperlink para um programa malicioso. Ao acessá-lo, o download de um Trojan spyware é executado.

A carga de ataque

Neste caso específico, o link malicioso levava para um arquivo chamado Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab, que possuía um carregador para um Trojan que a Kaspersky identifica como Trojan-Spy.Win32.Noon, este spyware é bastante comum. Conhecido desde 2017, ele permite que invasores roubem senhas e outras informações de formulários de entrada.

Conte com a CTI

Para manter seus dispositivos seguros contra ataques a CTI realiza uma consultoria na sua empresa e define todas as estratégias de proteção, além de suporte e monitoramento especializado, entre em contato aqui e faça um orçamento.