Segundo o site Restore Privacy, dados de 700 milhões de usuários do LinkedIn foram colocados à venda em um forum, tornando este o maior vazamento que se tem conhecimento sobre a rede social até hoje. O LINKEDIN E A PRIVACIDADE DE DADOS Muitas pessoas informam ao LinkedIn vários tipos de [...]
Com o fim do prazo para a entrega da declaração de imposto de renda, os cyber criminosos se aproveitam deste cenário e criam sites falsos para tentar obter sucesso no roubo de informações, vantagens financeiras e outras ações maliciosas.
Um meio muito utilizado para tal ação é a utilização de domínios similares, ou seja, alterando somente uma letra, mantendo a similaridade, como por exemplo:
Tal ação visa ludibriar o usuário, ao confundi-lo com nomes referencias simulares.
A CLARITY, por meio de sua célula de threat intelligence, descobriu um website utilizado como phishing, buscando enganar os contribuintes brasileiros, disponibilizando um arquivo falso como se fosse o original.
O domínio utilizado para phishing é o receitanet.site, registrado no dia 23/06/2020:
O Provedor utilizado para registro do domino e hospedagem de serviços está situado na Lituânia.
Ao acessar o site malicioso, aparece na tela do usuário uma página similar à encontrada no site verdadeiro da Receita:
Ao clicar no link disponibilizado, o usuário é encaminhado para um repositório no Dropbox, para que o arquivo malicioso seja baixado.
Ao realizar a pesquisa sobre o programa para declaração do imposto de renda no Google, o link malicioso aparece em primeiro lugar, como pode ser visto a seguir:
O pagamento de um anuncio faz um site aparecer nas primeiras posições e, com isso, busca ludibriar ainda mais o usuário.
Dentre os métodos, técnicas e infraestrutura utilizada para execução do ataque, os atores mal intencionados utilizaram a obfuscação de código e dll’s para execução de softwares maliciosos. A seguir, segue a ilustração da metodologia utilizada:
Analisando o artefato, foi possível verificar que o malware se esconde atras de dll’s confiáveis como as utilizadas pelo antivirus AVIRA:
A arte de esconder processos maliciosos dentro de processos, dll’s e executáveis confiáveis pelo sistema operacional mostra a sofisticação do ataque.
A complexidade das ações maliciosas avança ao passo de dificultar sua identificação pelos antivirus com identificação baseada por assinatura, por exemplo.
O arquivo malicioso realiza requisições para endereços externos hospedados em sites comprometidos, armazenamento externo como o Dropbox, infraestrutura em nuvem e sites destinados para suportar o ataque.
Dentre os links mapeados, chamou a atenção um endereço para o Ghostbin:
O conteúdo contem informações, em sua maioria, criptografado ou ofuscado (para dificultar a análise) e outras partes em texto claro, expondo as chamadas de variáveis.
A seguir, estão descritas as principais informações encontradas por meio da análise do artefato:
Destaca-se a utilização de buckets hospedados na Amazon e outro website para suporte ao ataque: escoladosucesso.site. O endereço escoladosucesso.site utiliza infraestrutura semelhante ao receitanet.site. Os dois domínios estão hospedados na Lituânia.
Um ponto importante é o número elevado de consultas para endereços provedores de certificados digitais, bem como o acesso à arquivos comprimidos no formato ZIP, acessíveis por meio do domínio escoladesucesso.site.
Por fim, a seguir estão listados os arquivos e diretórios acessados durante a fase de “instalação” e “execução”. Arquivos com a extensão .vbs .zip e .exe fazem parte do conjunto, bem como a dll utilizada para obfuscação do arquivo malicioso.
Possuir um antivirus de nova geração, que utiliza métodos avançados para identificação de programas maliciosos é uma excelente prática para proteger contra malwares e softwares como ramsonware e outros.
Para minimizar a probabilidade de ser enganado por este tipo de ataque, recomenda-se atenção redobrada para entender onde se está clicando. Verificar os endereços que aparecem no canto inferior esquerdo do navegador também é uma boa prática.
A CLARITY, empresa especializada em produtos e serviços de segurança da informação conta, em seu portfolio, com soluções avançadas para proteção de endpoints e identificação de comportamento anômalos em redes corporativas, visando o bloqueio de ações maliciosas e manutenção da confidencialidade das informações.
Contate-nos por meio de nossa página de contato, ou envie um e-mail para: [email protected]
De acordo com portais especializados, pesquisadores divulgaram uma falha crítica de segurança no Android que poderia ser usada por cibercriminosos para disseminar aplicativos maliciosos como se fossem legítimos com o ...
