A pandemia reformulou completamente o cenário de ameaças por e-mail. A mudança em massa para o trabalho remoto e a inevitável transferência da maioria das comunicações para o formato online estimulou um aumento nos ataques de phishing e BEC. O aumento do fluxo de correspondência comercial tornou muito mais fácil para os cibercriminosos disfarçar seus e-mails entre a pilha de mensagens legítimas, razão pela qual a imitação de correspondência comercial tornou-se um importante vetor de ataque. Muitos truques de engenharia social – como uma notificação que estimula a resposta da vítima a um e-mail o mais rápido possível – também receberam um novo sopro de vida. As principais tendências que observamos em 2022 são as seguintes:
- Um aumento nas correspondências de spam com conteúdo malicioso para infectar o computador da vítima
- Uso ativo de técnicas de engenharia social em e-mails maliciosos mais típicos de spear phishing (adicionando assinaturas para imitar departamentos específicos; usando linguagem comercial e contexto apropriado para a empresa-alvo; pegando carona em eventos atuais; referindo-se a funcionários reais da empresa)
- Spoofing generalizado — o uso de endereços de e-mail com nomes de domínio semelhantes aos reais das organizações-alvo (diferentes apenas por alguns caracteres)
Como resultado, os criadores de correspondências de spam maliciosas conseguiram disfarçá-las como mensagens internas e correspondência comercial entre empresas e até mesmo como notificações de agências governamentais. Aqui estão os exemplos mais ilustrativos que encontramos este ano:
Malware em e-mails
A principal tendência deste ano que se encerra tem sido correspondências maliciosas disfarçadas de correspondência comercial. Para fazer com que o destinatário abra um anexo ou baixe um arquivo vinculado, os cibercriminosos geralmente tentam convencê-lo de que o e-mail contém informações relevantes para os negócios, como uma oferta comercial ou uma fatura de entrega de mercadorias. O malware geralmente é colocado em um arquivo criptografado, cuja senha é fornecida no corpo da mensagem.
Por exemplo, durante todo o ano, encontramos o seguinte esquema: os invasores obtiveram acesso a correspondência comercial genuína (provavelmente roubando-a de computadores infectados anteriormente) e enviaram novos e-mails a todos os participantes com arquivos ou links maliciosos. Em outras palavras, eles conseguiram desenvolver a conversa de forma plausível. Esse estratagema torna os e-mails maliciosos mais difíceis de serem detectados e aumenta as taxas de sucesso.
Na maioria dos casos, quando um documento malicioso é aberto, o Trojan Qbot ou Emotet é carregado. Ambos podem roubar dados do usuário, coletar informações em uma rede corporativa e distribuir outros malwares, como ransomware. Além disso, o Qbot pode ser usado para acessar e-mail e roubar mensagens; ou seja, serve como fonte de correspondência para novos ataques.
À medida que o final do ano se aproxima, o tema dos e-mails maliciosos está se tornando cada vez mais criativo. Por exemplo, no início de dezembro, golpistas fingindo ser uma organização de caridade pediram às vítimas que se desfizessem de seus equipamentos antigos. Claro, para participar desta nobre aventura, eles tiveram que baixar um arquivo supostamente contendo a lista de dispositivos aceitos. Mas, na verdade, o anexo era um arquivo executável malicioso escondido em um arquivo protegido por senha.
Em outra campanha de e-mail, sob o disfarce de faturas, os invasores enviaram dezenas de milhares de arquivos contendo uma backdoor de Trojan malicioso para permitir o controle remoto do computador infectado. O mais interessante é que o arquivo anexado tinha extensões como .r00, .r01, etc. É provável que seus criadores quisessem passar o anexo como parte de um grande arquivo RAR em uma tentativa de contornar os sistemas de proteção automática configurados para certas extensões de arquivo.
Notificações falsas de governo
E-mails imitando notificações oficiais de ministérios e outros departamentos governamentais se tornaram mais frequentes este ano. Essa tendência é especialmente perceptível no segmento do idioma russo. E-mails desse tipo são adaptados ao perfil da organização específica. O endereço do remetente geralmente se assemelha ao domínio real do departamento, e o anexo malicioso costuma ter um título relevante, como “Comentários sobre os resultados da reunião”. Um desses anexos continha um código malicioso para explorar uma vulnerabilidade no Equation Editor, um componente do Microsoft Office.
Carona nos eventos recentes
Ainda no segmento da língua russa, também vimos um aumento na atividade de e-mail malicioso com base na agenda de notícias atual. Por exemplo, em outubro, cibercriminosos distribuíram malware sob o disfarce de ordens de convocação, explorando a “mobilização parcial” da Rússia. Os e-mails citavam o Código Penal Russo, usavam a heráldica e o estilo do Ministério da Defesa e solicitavam que o destinatário baixasse o pedido por meio do link fornecido. Na verdade, o link apontava para um documento com um script executável que criava outro arquivo executável e o colocava em operação.
Além disso, registramos um e-mail supostamente vindo de agências policiais russas. A mensagem convidava a vítima a baixar uma “nova solução” para se proteger contra ameaças online de organizações “hostis”. Na realidade, porém, o programa instalado no computador era um Trojan ransomware.
Como se manter protegido
Esquemas cibercriminosos estão se tornando cada vez mais sofisticados a cada ano, e os métodos de imitação de correspondência comercial são cada vez mais convincentes. Portanto, para manter sua infraestrutura corporativa protegida contra-ataques de e-mail, preste atenção às medidas organizacionais e técnicas. Em outras palavras, além de ter soluções de segurança tanto no nível do servidor de e-mail corporativo quanto em todos os dispositivos conectados à Internet, nós recomendamos a realização de treinamento de conhecimento em cibersegurança regularmente para os funcionários.