Um novo relatório da Cisco Talos – braço de inteligência de ameaças da Cisco – alerta para uma campanha de spam contra usuários brasileiros direcionada principalmente a executivos em cargos C-level, contas de finanças e de Recursos Humanos de diversos setores. O objetivo é instalar ferramentas comerciais de monitoramento e gerenciamento remoto (RMM) por meio de mensagens que se passam por instituições financeiras ou operadoras de telefonia celular.
A existência dessa ação começou a ser percebida em janeiro deste ano. Ao enganar esse público, os cibercriminosos simulam faturas vencidas ou recibos eletrônicos de pagamento emitidos como NF-e como iscas nas mensagens para conseguirem essa infecção inicial. Dessa forma, as pessoas são induzidas a acessar links maliciosos hospedados no Dropbox.
| Clique Para Download |
Figura 1 – Mensagem supostamente de uma operadora de celular
|
| Clique Para Download |
Figura 2 – Mensagem de spam disfarçada de fatura de uma instituição financeira
|
De acordo com o relatório da Cisco Talos, tanto as mensagens que simulam a Nota Fiscal Eletrônica quanto a dos boletos vencidos levam a um arquivo no Dropbox. Nessa nuvem, existe o instalador binário malicioso da ferramenta RMM. Os nomes dos arquivos também contêm referências à Nota Fiscal, conforme a lista abaixo:
- AGENT_NFe_.exe
- Boleto_NFe_.exe
- Eletrônica_NFe_.exe
- Nf-e.exe
- NFE_.exe
- NOTA_FISCAL_NFe_.exe
Nota: significa que o nome do arquivo usa uma sequência aleatória de letras e números nessa posição.
A Cisco Talos ainda aponta no relatório que algumas instituições educacionais e governamentais também foram alvo dos cibercriminosos. Para se chegar a essa avaliação, os especialistas se baseiam nos destinatários mais comuns encontrados nas mensagens monitoradas durante esse período de campanha.
| Clique Para Download |
Figura 3 – Destinatários alvos
|
Objetivo da campanha de spam
Conforme o relatório do braço de inteligência da Cisco, o objetivo dessas ações maliciosas é fazer com que as vítimas instalem um RMM. Isso permite ao agente de ameaça assumir o controle total do computador. A Cisco Talos aponta ainda que o N-able RMM Remote Acess é a ferramenta mais comum distribuída nesta campanha, desenvolvida pela N-able.
A Cisco Talos informou que a N-able já tem ciência dessa utilização e tomou medidas para desativar as contas de teste afetadas. Outra ferramenta usada em alguns casos é o PDQ Connect, um aplicativo RMM semelhante. Em ambos os casos, são oferecidos 15 dias de teste gratuito.
Além disso, a Cisco Talos também verificou amostras com mais de 15 dias com a finalidade de avaliar se esses atores utilizavam uma versão de teste ao invés de credenciais roubadas para criar as contas. Os especialistas confirmaram que todas elas estavam desativadas. Por outro lado, as mais recentes encontradas nos últimos 15 dias estavam todas ativas.
Confira o relatório completo da Cisco Talos neste link.
Fonte: TI INSIDE Online - Leia mais
