Quando conversamos sobre roubo de credenciais, as mensagens de e-mail com links de phishing tendem a aparecer logo de cara. No entanto, essas mensagens representam apenas um meio de obter nomes de usuário e senhas para vários serviços online. Os golpistas também enviam links para spyware regularmente. Um truque que eles usam para disfarçar esses links é incluir uma imagem que parece ser um anexo.
Email com um link malicioso
Hoje, estamos diante de um ataque direcionado por e-mail. Os cibercriminosos em questão deram credibilidade ao seu e-mail, enviando um RFQ (sigla em inglês para pedido de orçamento) a um prestador de serviços industriais e vendedor de equipamentos, com as orientações em anexo.
As indústrias recebem essas solicitações com bastante frequência, e os gerentes de conta normalmente abrem o documento de orientação e preparam uma proposta, ignorando quaisquer pequenas discrepâncias, como diferenças entre o nome de domínio e a assinatura do remetente. O que nos interessa, aqui, é como os cibercriminosos fazem com que os destinatários executem o malware. Esta é a aparência do e-mail.
Analise o exemplo do PDF acima. Como pode ter percebido, o que você está olhando não é um anexo de forma alguma. O Outlook exibe anexos de e-mail como este, mas aqui você encontrará uma série de diferenças:
● O ícone do anexo deve corresponder ao aplicativo associado aos arquivos PDF em seu sistema. Caso contrário, não é um anexo ou o que quer que esteja anexado não é um arquivo PDF;
● Detalhes sobre o arquivo – nome, tipo, tamanho – devem aparecer se você passar o mouse sobre um anexo real. Em vez disso, você não deveria ver um link para algum site com alto risco potencial;
● A seta ao lado do nome do arquivo deve ser destacada e funcionar como um botão que abre um menu de contexto;
● O anexo deve aparecer em um bloco separado, não no corpo do e-mail, algo assim:
Na verdade, esse objeto disfarçado como um anexo de PDF é apenas uma imagem comum. Se você tentar selecionar partes da mensagem com o mouse ou usar Ctrl-A para selecionar tudo, isso ficará aparente.
A imagem esconde um hiperlink para um programa malicioso. Ao acessá-lo, o download de um Trojan spyware é executado.
A carga de ataque
Neste caso específico, o link malicioso levava para um arquivo chamado Swift_Banco_Unicredit_Wire_sepa_export_000937499223.cab, que possuía um carregador para um Trojan que a Kaspersky identifica como Trojan-Spy.Win32.Noon, este spyware é bastante comum. Conhecido desde 2017, ele permite que invasores roubem senhas e outras informações de formulários de entrada.
Como se manter seguro
Para evitar que spyware e Trojans prejudiquem sua empresa, instale uma solução de segurança confiável em cada dispositivo com acesso à Internet para evitar a execução de malware.
Além disso, treine seus funcionários para detectar as artimanhas de cibercriminosos em e-mails.