O desafio dos cibercriminosos é criar códigos maliciosos que não sejam detectados pelas soluções de segurança para infectar e roubar o máximo possível de vítimas. Com isso, os golpistas estão deixando de usar os phishing tradicionais e estão adicionando recursos avançados para aumentar o sucesso das campanhas de mensagens falsas. A última novidade, descoberta pelo analista de segurança da Kaspersky Lab no Brasil, Thiago Marques, é o uso de um arquivo PDF – anexo à mensagem – e de imagens PNG para esconder os programas maliciosos.
Este tipo de ataque que utiliza phishing em PDF surgiu meses atrás nos Estados Unidos e foi adotado agora pelos cibercriminosos brasileiros, o que demonstra que eles estão antenados às tendências globais e evoluções do malware. O golpe tem início no envio do phishing tradicional para avisar a vítima sobre uma suposta entrega e envia o código de rastreamento. Porém o link malicioso está presente no arquivo PDF associado à mensagem, que possui um conteúdo semelhante ao encontrado nos e-mails de phishing. Esta tática permite burlar os sistemas antispam que não identificam links dentro de anexos, liberando a passagem da mensagem maliciosa.
A infecção começa quando a vítima clica no link e é direcionada realizar o download de um JAR malicioso, que contém os malware. Neste ponto, o analista da Kaspersky Lab encontrou outra inovação – o uso de arquivos PNG (Portable Network Graphics), um dos formatos de imagem mais comum, para esconder o programa maliciosos, carregá-lo para a memória da máquina e executar o arquivo malicioso. Esta é a primeira vez que cibercriminosos brasileiros esta extensão para esconder seus códigos.
“Os golpistas brasileiros estão se tornando gradativamente eficientes. Por conta disso, é preciso que o usuário esteja sempre atento a e-mails desconhecidos, principalmente os que contêm links e arquivos anexos. Pois com esta técnica, os criminosos conseguem ocultar com sucesso seus malware em simples arquivos de imagem PNG – o que dificulta o trabalho de análise por parte das empresas de antimalware e burla os mecanismos de verificação automática dos serviços de hospedagem”, destaca Marques.
As URLs utilizadas neste ataque e os arquivos maliciosos já são bloqueados pelos produtos da Kaspersky Lab, sendo detectados com os seguintes vereditos: Trojan.Win32.KillAv.ovo; HEUR:Trojan.Win32.Generic; Trojan-Downloader.Win32.Banload.cxmj; Trojan-Downloader.Win32.Agent.hgpf; e HEUR:Trojan-Downloader.Java.Generic.