Milhões de usuários da Amazon são alvos do Locky Ransomware via golpes de phishing

Os usuários da Amazon foram aconselhados a tomar cuidado com uma grande campanha de phishing de que são alvos. Segundo informações, os usuários da popular plataforma de e-commerce estão recebendo emails com documentos Word da Microsoft contendo código de macro, que baixam o Locky, uma variante de ransomware descoberta em fevereiro.

Uma pesquisa da Comodo Threat Research Labs disse que informações de usuários da Amazon foram capturados com falsos emails que diziam vir da gigante de eCommerce, com o endereço de remetente auto-shipping@amazon.com e o assunto “Seu pedido da Amazon.com foi despachado (#code).”

O email em si não tem nada escrito, além de um documento Microsoft Word incluído como um anexo. O documento Word está em branco e apenas contém macros, um conjunto de código feitos para automatizar tarefas frequentemente usadas em aplicações. Dada a sua natureza potencialmente prejudicial, as macros são desativadas por padrão nos produtos Microsoft Office.

Destinatários do arquivo infectado são solicitados a ativar o conteúdo do documento e, depois um arquivo será obtido da web e executado. Os pesquisadores da Comodo identificaram a carga como sendo o ransomware Locky.

O Locky (detectado pela Trend Micro como Ransom_LOCKY.A) criptografa arquivos que combinam com sua longa lista de extensões, algumas das quais compreendem mídia, arquivos de código aberto, documentos Office e PDF, e até dados da carteira de bitcoins dos usuários. Ele também encerra a ‘shadow copy’ do computador, um recurso embutido do Windows que automaticamente faz cópias de backup ou capturas de tela dos arquivos do computador. Ele também criptografa arquivos em qualquer unidade montada que possa acessar, como unidades removíveis e compartilhamento na rede (viz. servers e outros computadores anexados executando Windows, Linux e OS X).

O malware acrescenta uma extensão .locky aos arquivos critptografados e depois disso muda o papel de parede do computador para uma imagem que serve como nota de resgate, informando à vítima que seus arquivos foram feitos refém. Arquivos HTML contendo o mesmo aviso são deixados em todas as pastas, nas quais há um arquivo criptografado. A vítima é então instruída a fazer um pagamento pela rede Tor para ter seus arquivos de volta, com pagamentos variando entre 0,5 e 1 bitcoin ($235 a $470 dólares até 26 de maio de 2016).

O alerta da Comodo dizia que a campanha de phishing começou no último dia 17 de maio e durou 12 horas. Estima-se que foram enviadas 30 milhões de mensagens de spam alegando ser uma atualização de pedidos de compra da Amazon.com, embora a firma Proofpoint estime que essas mensagens de spam foram enviadas para 100 milhões de emails. O relatório também observou que a campanha usou botnets, sendo executadas em máquinas virtuais e de uso pessoal sequestradas.

Apesar de sua entrada relativamente recente na cena do ransomware, o Locky ficou famoso ao criptografar o Hollywood Presbyterian Medical Center, convencendo o hospital a pagar $17.000 dólares. Desde então ele infectou sistemas em toda a parte, inclusive com uma série de ataques a instalações de saúde nos EUA, a sede do governo de Maharashtra, na Índia, usuários do Correio da Austrália, o Conselho de Saúde do Distrito de Whanganui, na Nova Zelândia e empresas em Hong Kong como a Faculdade de Medicina da Universidade Chinesa de Hong Kong.

Dada a alta taxa de infecção do Locky – que foi estimada em 30 dispositivos infectados por minuto – não é surpresa que os distribuidores do malware tenham começado a se concentrar em grandes empresas europeias e usuários individuais. De fato, os dados mais recentes da firma de segurança ESET informam um alarmante aumento de detecções de um malware baseado em Javascript, que chega como um anexo em um email de spam. Seu código foi projetado para baixar e instalar outros malwares, em sua maioria de variantes do ransomware Locky.

Ondrej Kubovi da ESET observou que os países europeus com o maior aumento de taxas de detecção foram Luxemburgo (67%), República Tcheca (60%), Áustria (57%), Holanda (54%) e Reino Unido (51%). Japão, Nova Zelândia e Austrália estão sofrendo um aumento semelhante de 71%, 53% e 45%, respectivamente (até 25 de maio de 2016).

A Equipe de Prontidão de Emergências de Computação dos EUA (US-CERT) recomenda que os usuários individuais e empresas tomem medidas preventivas para proteger seus dispositivos e rede, como o emprego de um plano de recuperação e backup regulares, desabilitando macros para arquivos recebidos por email e sendo cuidadosos com emails não solicitados, especialmente os com anexos suspeitos. A Amazon também tem uma página de Ajuda, na qual seus clientes podem informar golpes de phishing.

Categorias

Menu