Uma nova campanha de ataques de engenharia social está usando arquivos em PDF como vetor de entrada para malwares que roubam credenciais e tentam se passar por ransomwares. A praga, conhecida como StrRAT, usa os dados comprometidos para entrar em um sistema e é capaz de se comunicar com servidores sob o controle dos criminosos, recebendo instruções diferentes de acordo com o tipo de golpe desejado.
O alerta emitido pela Microsoft informa sobre uma sequência de ataques que visa, principalmente, os usuários corporativos. De acordo com a empresa, estão na mira aqueles que trabalham em regime remoto, mas que têm acesso a servidores e outros sistemas internos das companhias. Os ataques não parecem ser direcionados, pelo menos nessa primeira etapa, com os e-mails e arquivos fraudulentos sendo enviados de forma massiva desde meados da última semana.
Em inglês, a mensagem finge entregar um recibo de pagamentos realizados por fornecedores. Após a abertura do PDF, o StrRAT se instala na máquina do usuário e começa a coletar senhas salvas no navegador e registrar informações digitadas, visando a obtenção de credenciais que são enviadas a um servidor externo. Desta mesma infraestrutura, sob o comando dos atacantes, vêm também mais instruções sobre o que fazer, com uma das possibilidades envolvendo até o travamento do computador, com o malware se passando por um ransomware e exigindo resgate em criptomoedas.
The latest version of the Java-based STRRAT malware (1.5) was seen being distributed in a massive email campaign last week. This RAT is infamous for its ransomware-like behavior of appending the file name extension .crimson to files without actually encrypting them. pic.twitter.com/mGow2sJupN
— Microsoft Security Intelligence (@MsftSecIntel) May 19, 2021
Além de tudo isso, as contas de e-mail comprometidas são utilizadas para disseminar ainda mais o malware, também como forma de tentar garantir maior autenticidade ao ataque. Por outro lado, esse método é facilmente detectável pela quantidade de mensagens mandadas em um curto período de tempo, enquanto a própria existência do StrRAT já foi informada a fornecedores de soluções de segurança, que incluíram a praga em suas listas de detecções.
Por isso, a recomendação é que soluções de segurança estejam ativas e atualizadas com suas últimas versões. Além disso, aos usuários, é ideal tomar cuidado com e-mails repentinos e de remetentes desconhecidos, evitando abrir arquivos anexos sem ter certeza absoluta sobre as origens da mensagem.
FONTE:CANALTECH
Nenhum comentário:
Postar um comentário