Identificada pela Tempest, prática disseminava um malware com a missão de roubar credenciais de clientes de instituições financeiras e de corretoras de criptomoedas
A equipe de Threat Intelligence da Tempest identificou uma campanha massiva de phishing cujo objetivo era disseminar um malware que mirava o roubo de credenciais de clientes de instituições financeiras e de corretoras de criptomoedas.
Após analisar o modus operandi dessa campanha, foi possível identificar outras 12 iniciativas que, apesar de disseminarem malwares distintos, usam métodos bastante semelhantes para o envio em massa de spam, além de possuírem características quase idênticas na construção dos e-mails de phishing.
O número de vítimas envolvidas nas campanhas detectadas pela Tempest subiu de aproximadamente 9 mil, em 14 de janeiro, para mais de 61 mil (das quais mais de 60 mil estão no Brasil) em um monitoramento realizado no dia 28 de janeiro.
E hoje já passam de 120 mil vítimas, sendo que mais de 100 mil estão no país.
A similaridade nos métodos de envio de spam e de construção dos e-mails de phishing foi o que chamou a atenção dos pesquisadores da Tempest para estas campanhas.
O fato pode indicar que um único serviço com recursos avançados para o envio de spam esteja sendo utilizado por criminosos para alavancar diferentes campanhas de phishing.
Os honeypots da empresa identificaram mais de 800 e-mails de phishing que utilizavam os mesmos servidores para o envio de spam. Esses servidores totalizaram 192 hosts, vinculados a 37 domínios distintos.
Todos os e-mails analisados utilizavam um script chamado javali.php, um código gratuito e facilmente encontrado na Internet que é utilizado para o envio de e-mails a partir de um terminal de comandos shell.
Após analisar esse código, foram identificadas duas características que comprovam sua utilização nessas campanhas. A primeira é o parâmetro X-Mailer, que identifica a versão do software de e-mail que supostamente enviou o phishing.
A segunda é um número randômico que o script aplica ao assunto do e-mail atribuindo um tipo de identificação. Essas características podem ser observadas sendo aplicadas no assunto da mensagem.
O mote da engenharia social utilizada nas campanhas varia. No entanto, o intuito permanece o mesmo: tentar amedrontar a vítima para persuadi-la a executar um artefato malicioso.
Entre os exemplos estão alertas de que a vítima está em situação de inadimplência, que seu histórico de mensagens do WhatsApp foi vazado, entre outros.
Apesar da grande atividade identificada recentemente, acredita-se que este ator ou grupo está ativo há bastante tempo. Pesquisa de novembro de 2018 publicou a análise de um malware focado em alvos no Brasil que se baseava em campanhas de disseminação muito semelhante a essa.
Além disso, identificamos que alguns dos domínios envolvidos nestas campanhas estão ativos desde junho de 2018, o que pode representar um número maior de vítimas.
Pesquisadores da Kaspersky Lab detectaram uma nova onda de e-mails de spear phishing financeiro
Trojan distribuído por meio de phishing desenvolve resistência