This post is also available in: Português Español
Cibercriminosos espalham malware usando URLs do Google, que conseguem driblar as defesas dos sistemas corporativos.
Poucas vezes o ditado “lobo em pele de cordeiro” fez tanto sentido no mundo dos crimes virtuais. Nas mãos de crackers, a famosa frase surge na forma de engenharia social para ludibriar os funcionários responsáveis pela área de contato dos sites das empresas para as quais trabalham.
A questão é séria o suficiente para fazer a Microsoft alertar empresas de todo o mundo para que tomem cuidado com essa parte de seus sites. Afinal, são dezenas de golpistas usando os formulários de contato de sites corporativos para enviar o IcedID – um trojan especializado em roubo de informações – por e-mail com URLs do Google aos empregados.
De fato, os formulários de contato de sites são uma porta aberta que os criminosos começaram recentemente a usá-las. A ideia é entrar em contato com os colaboradores que lidam com as solicitações que vêm desse canal – para então aplicar golpes bem convincentes.
Parece, mas não é
Uma forte característica do ataque é que os criminosos estão usando os formulários de contato para enviar URLs legítimos do Google, que exigem que os usuários façam login com seu id e senha do Google.
Diante da magnitude do problema, a Microsoft então passou a relatar os ataques às equipes de segurança do Google para avisá-los do perigo. As URLs do gigante da internet são úteis para os invasores porque podem driblar os filtros de segurança dos serviços de e-mail. Os golpistas também parecem ter se livrado dos desafios de Captcha, usados para verificar se o contato é de um ser humano ou de algum bot malicioso.
“Os invasores estão inovando ao abusar de infraestruturas legítimas, como formulários de contato de sites. Além disso, usam URLs autênticas, como são as do Google, que exigem que os alvos façam login com suas credenciais”, diz o comunicado da Equipe de Inteligência de Ameaças do Microsoft 365.
Versatilidade
Atualmente a carga útil está focada apenas no malware IcedID. Mas poderia ser usada com a mesma facilidade para transmitir outros malwares.
Na realidade, o IcedID é um trojan bancário que pode ser usado como um ponto de entrada para ataques subsequentes, como ransomware operado manualmente para alvos de alto valor. Ataques de ransomware operados por humanos são cada vez mais comuns, e exigem que o invasor esteja à frente do computador e orquestre o ataque, em contraste com um ataque automatizado.
“Observamos um fluxo de e-mails de formulários de contato direcionados a empresas por meio de abuso de formulários de contato. Isso indica que os invasores podem ter usado uma ferramenta que automatiza esse processo, ao mesmo tempo que contorna as proteções do tipo Captcha”, acrescentou a Microsoft.
Esse é um ataque complicado de detectar, já que o e-mail chega aos funcionários por meio de seu próprio formulário de contato – e também por sistemas de e-mail marketing. Como os e-mails são originados do próprio site, os modelos de e-mail correspondem ao que os funcionários esperariam de uma interação ou consulta real com clientes.
Os invasores usam uma linguagem que pressiona o colaborador a responder rapidamente, com falsas alegações de que o site está violando os direitos autorais de determinadas fotos, por exemplo. O e-mail contém um link para uma página do tipo sites.google.com onde o funcionário deve visualizar as supostas imagens irregulares.
Quem entrar no site, verá o download automático de um arquivo ZIP com um arquivo JavaScript, que por sua vez baixa o malware IcedID como um arquivo .DAT. Ele também baixa um componente do kit de teste de penetração, que permite ao invasor controlar o dispositivo pela Internet.
Como o combate no nível técnico é repleto de desafios, as defesas a ataques do tipo devem se concentrar com maior intensidade no treinamento de funcionários. Eles devem receber constantemente instruções sobre novos métodos de invasão, já que são parte importante de tudo o que envolve a segurança digital da empresa. Como as investidas dos cibercriminosos provavelmente nunca acabarão, faz sentido ampliar os conhecimentos dos colaboradores sobre o tema – de uma maneira cada vez mais frequente.
This post is also available in: Português Español
