Boletim semanal de cibersegurança abril 3-9

Campanha de distribuição de malware via Linkedin

A equipe de pesquisadores do eSentire publicou detalhes sobre a análise de uma nova campanha de distribuição de malware através da plataforma LinkedIn. A ameaça dos agentes seria enviar arquivos .zip sob o pretexto de ofertas de emprego, nomeando o arquivo como o suposto trabalho, a fim de ganhar a confiança da vítima. Uma vez aberto o anexo, ele inicia a instalação do malware More_eggs de forma sigilosa, utilizando processos legítimos do Windows para contornar soluções de segurança. Esse malware  funcionaria como um dropper, uma vez infectado o dispositivo do usuário, é gerado acesso ao sistema para prosseguir com o download de outros malwares ou exfiltrar informações. Deve-se notar que esta ferramenta é vendida como Malware as a Service (MaaS) pela organização Golden Chickens, que, segundo pesquisadores, tem ligações com outros atores avançados como FIN6, Cobalt Group e Evilnum.

Campanhas relacionadas a temporada de declaração de imposto de renda

Baseados nas campanhas internacionais, temos que redobrar a atenção as mesmas ameaças neste momento no Brasil. Várias campanhas globais de envio de e-mails fraudulentos foram detectadas que estariam aproveitando a temporada de declaração e devolução de impostos como uma isca. O objetivo da ameaça dos agentes por trás dessas operações seria tanto a distribuição de malware, por meio de anexos nas mensagens, quanto a coleta de dados através de páginas de phishing. Em um alerta emitido pelo INCIBE, ele alerta para esta campanha em andamento, voltada para funcionários e/ou freelancers na Espanha, passando-se pela Agência Triburária. Por outro lado, a Receita Federal dos EUA não foi capaz de fazê-lo. OS EUA (Receita Federal), estariam sofrendo com o roubo de identidade em e-mails de phishing destinados a estudantes e professores, bem como a distribuição de malware a partir de links de download ou anexos.

BazarLoader usa call centers para distribuição

Os pesquisadores do Future Recorded alertam para uma nova campanha dos operadores de malware BazarLoader, ativa desde janeiro de 2021, na qual call centers subterrâneos seriam usados para enganar as vítimas para baixar e abrir os documentos maliciosos que as infectariam. Embora essa metodologia não seja a primeira vez que é observada, é sim a primeira vez que os call centers são usados por malwares de grande escala, como o Bazarloader, em uma operação que tem sido chamada de BazarCall ou BazaCall. Essas campanhas começam enviando e-mails de spam para vítimas selecionadas; e-mails enviados normalmente fingem ser ofertas, testes gratuitos ou assinaturas de serviços médicos, TI ou outros serviços financeiros. Esses e-mails indicam que podem ligar para um telefone para saber mais sobre a oferta, se ligarem, são atendidos por operadores de língua inglesa que os orientam a baixar o anexo, desativar os recursos de segurança do Office e permitir que o documento (geralmente um Excel ou Word) habilite macros, através das quais o malware é baixado e o sistema está infectado. Analistas de segurança observaram essas campanhas também implantando o  ransomware Ryuk ou o Trickbot Trojan.