trojan-malware-cavalo-de-troia.jpg

Yandex Forms: aviso falso de quebra de copyright libera trojan

Da Redação
07/07/2022

Os proprietários de sites estão sendo alvo de falsas notificações de violação de direitos autorais que utilizam Yandex Forms para distribuir o malware bancário IcedID. Há mais de um ano, os operadores da ameaça, identificados como TA578, vêm realizando ataques nos quais usam a página de contato de sites para enviar ameaças supostamente legais para convencer os destinatários a baixar um relatório com o material da quebra do copyright.

Esses relatórios conteriam provas de ataques distribuídos de negação de serviço (DDoS) ou material protegido por direitos autorais usado sem permissão, mas na realidade são usados para infectar o dispositivo de um alvo com vários malwares, incluindo BazarLoader, BumbleBee e IcedID. Esta semana, o BleepingComputer recebeu uma nova versão da ameaça de “violação de direitos autorais” fingindo ser da Zoho, alegando que o site está utilizando imagens protegidas por direitos autorais, conforme o comunicado a seguir:

“Olá,

Seu site ou um site que sua organização hospeda está infringindo imagens protegidas por direitos autorais de propriedade de nossa empresa (zoho Inc.).

Confira este relatório com os links para nossas imagens que você usou em www.bleepingcomputer.com e nossa publicação anterior para obter a prova de nossos direitos autorais.

Baixe agora e confira você mesmo: https://forms.yandex.com/u/62c3f14d59f1f7ef4295d2c1/success/?0=742998805032103091

Eu acho que você violou deliberadamente nossos direitos sob 17 U.S.C. Seção 101 e segs. e pode ser responsabilizado por danos estatutários de até US$ 130.000, conforme estabelecido na Seção 504 (c) (2) do Digital Lei de Direitos Autorais do Milênio (“DMCA”).

Esta mensagem é uma notificação oficial. Solicito a remoção dos materiais infratores mencionados acima. Observe que, como empresa, a DMCA exige que você remova ou encerre o acesso aos materiais protegidos por direitos autorais após o recebimento desta carta específica. Caso você não interrompa o uso do conteúdo protegido por direitos autorais mencionado acima, uma ação judicial provavelmente será iniciada contra você.

Acredito firmemente que o uso dos materiais protegidos por direitos autorais descritos acima como supostamente violadores não é aprovado pelo proprietário legal dos direitos autorais, seu agente legal ou pela lei.

Declaro, sob pena de perjúrio, que as informações contidas nesta mensagem são corretas e por meio deste afirmo que estou autorizado a agir em nome do titular de um direito exclusivo e legal supostamente infringido.

Atenciosamente,

Christian Brdakic

Diretor Jurídico

Zoho, Inc.

zoho.com

07/06/2022″

Veja isso
Milhões de sites WordPress estão sendo atacados, por bug em plug-in
Incidente derruba sites do Sebrae em todo o país

O método diferente desta campanha é que, em vez de usar o Google Drive ou o Google Sites para hospedar os supostos “relatórios”, como faziam no passado, os operadores da ameaça agora estão usando o Yandex Forms, serviço gratuito que permite aos usuários criar formulários online personalizados, mas que também pode ser usado por cibercriminosos para criar páginas de destino de phishing.

Quando uma pessoa clica no link forms.yandex.com na reclamação de direitos autorais, ela é levada a uma página da web que diz: “O arquivo ‘Stolen Images Evidence’ está pronto para download”. Após um breve período, o formulário Yandex fará o download de um arquivo ISO chamado ‘Stolen_ImagesEvidence.iso’ de um link firebasestorage.googleapis.com incorporado no formulário Yandex. Arquivo ISO é um formato de arquivo de imagem de disco que será definido com uma nova letra de unidade quando é aberto no Windows 10 ou no Windows 11 para que o usuário possa acessar os arquivos incluídos.

Os arquivos ISO tornaram-se um anexo popular em ataques de phishing, pois ignoram a propagação da  marca da web para os arquivos contidos, fazendo com que o Windows não avise que eles são arriscados quando o usuário tenta abri-los. A marca da web funciona da seguinte maneira: quando o usuário baixa ativos da web, como páginas HTML, em um dispositivo Windows usando um navegador, este insere um marcador que registra a zona de segurança do site do qual a página se originou.

No caso, do phishing, após clicar duas vezes no arquivo ISO, uma nova letra de unidade será aberta contendo o que parece ser uma pasta de ‘documentos’ e um arquivo DLL (Dynamic-link Library) nomeado aleatoriamente. No entanto, esta pasta de documentos é na verdade um atalho do Windows que, quando clicado duas vezes, fará com que um arquivo DLL malicioso seja executado usando o comando rundll32.exe. O DLL é um carregador para o IcedID, um trojan bancário modular que pode roubar credenciais do Windows e implantar cargas adicionais para permitir o acesso inicial a redes, como beacons Cobalt Strike. Essas cargas secundárias geralmente levam a ataques de ransomware completos na rede agora violada.

Compartilhar: