Nova campanha usa phishing para distribuir malware na AL

Da Redação
19/05/2023

Um campanha e-mails de spear phishing que contém um anexo compactado que não requer senha para roubar informações de empresas dos setores do agronegócio, saúde e suprimentos foi descoberta pela equipe de pesquisadores de segurança da ESET, especializada em detecção proativa de ameaças. 

Segundo a empresa, a campanha tem como alvo vários países da América Latina e o objetivo final era infectar as vítimas com um malware que permite que os invasores executem várias ações no computador infectado, desde roubar senhas até tirar capturas de tela e, em seguida, enviar essas informações para os servidores dos cibercriminosos.

A ESET identificou um exemplo dos e-mails usados nesta campanha onde o assunto se refere ao envio de um pacote e se passa por uma empresa internacional de entregas e encomendas.

Exemplo de um e-mail enviado nesta campanha

“A informalidade com que o e-mail é escrito é bastante marcante, o que pode levantar alguma suspeita. Por outro lado, é importante notar que o anexo tem uma extensão dupla, jpg xxe. Isso também deve ser interpretado como mais uma bandeira vermelha, já que se uma empresa quiser enviar um anexo não haveria necessidade de colocar uma extensão dupla como visto neste caso. O objetivo de tudo isso é confundir o destinatário do e-mail para acreditar que se trata de uma imagem [jpeg] e não de um executável [exe]”,explica Fernando Tavella, pesquisador de malware da ESET.

Ele explica que o processo de infecção começa ao baixar o arquivo e descompactá-lo. A vítima encontrará um arquivo executável que, ao abrir, iniciará um processo de várias etapas que culmina no download e execução do trojan Agent Tesla

Processo começa com um e-mail e termina com a infecção com o trojan

O México foi o país em que se concentrou a maior atividade dessa campanha, com 45% das detecções, seguido por Peru (15%), Colômbia (14%), Equador (12%) e Chile (5%), além de outros países da região. 

A ESET afirma que, embora o perfil dos alvos selecionados pelos cibercriminosos por trás dessa campanha seja muito amplo, empresas de diferentes setores, como agricultura, saúde e distribuição de suprimentos médicos, foram alvo desses ataques.

Número de detecções na LATAM do PowerShell/TrojanDownloader GNZ

Veja isso
Serviço Greatness facilita ataques de phishing do Microsoft 365
Grupo Kimsuky lança campanha global de spear phishing

Nos últimos anos, o Brasil foi um dos principais alvos de cibercriminosos que visavam a infecção por meios online. Segundo dados da telemetria da ESET, nos últimos anos, os países da América Latina com maior número de detecções foram o Brasil (8,5%) e o México (7,3%), respectivamente.

Os pesquisadores da empresa ainda descobriram e analisaram várias campanhas direcionadas a países da região em que grupos criminosos usavam esse tipo de malware para fins de espionagem para atacar empresas e agências governamentais em diferentes países. 

“A descoberta dessa campanha começou após o registro de atividade significativa de uma ameaça detectada pelas soluções de segurança ESET que afetou principalmente o Windows. Era um código malicioso do tipo downloader, que é responsável por iniciar o processo de infecção do computador e, em seguida, leva ao download da principal ameaça, o Agent Tesla. Vale destacar essa nova campanha de malware que grupos criminosos visam países da América Latina usando o que é conhecido como commodity, que é um tipo de vírus comercializado em mercados da dark web e é usado por diferentes grupos criminosos para realizar campanhas em todo o mundo”, esclarece Tavella.

Compartilhar: