NetWire RAT escondido em arquivos IMG implantados em campanha BEC

Os golpes de comprometimento de e-mail comercial (BEC) provaram ser um empreendimento bastante lucrativo para os cibercriminosos, graças ao seu grande potencial de lucro – e parece que os ataques devem continuar em 2020. Uma recente campanha de BEC, supostamente proveniente de um pequeno número de golpistas na Alemanha, visava atingir organizações ao enviar e-mails com anexos de arquivo IMG (imagem de disco), ocultando um RAT (Remote Access Trojan) de acesso remoto. Descoberto pela primeira vez em 2012, o NetWire foi empregado mais recentemente em uma série de ataques de phishing envolvendo arquivos PDF falsos em setembro de 2019.

A campanha mais recente, descoberta pelos pesquisadores de segurança do IBM X-Force, envolve a técnica BEC típica de enviar a um funcionário da empresa-alvo um e-mail mascarado como uma solicitação corporativa. Nesse caso, os pesquisadores descobriram que a mensagem continha uma solicitação falsa de cotação de vendas salva como um anexo de arquivo IMG (Sales_Quotation_SQUO00001760.img) que, ao ser clicado, executa o NetWire RAT.

Uma vez executada, a variante de malware estabelece persistência por meio do agendamento de tarefas. Ele também cria chaves de registro para armazenar o endereço IP do servidor de comando e controle (C&C), que se comunica pela porta TCP 3012. Depois de estabelecido na máquina destinatária, o NetWire pode executar várias ações, incluindo registro de chaves, captura de tela e informações roubo.

Embora os pesquisadores de segurança da IBM não tenham conseguido identificar os detalhes exatos sobre quem estava por trás desse esquema, certas sequências de códigos encontradas na variante de malware continham o que parecia ser textos em indonésio.

Recomendações e soluções Trend Micro

Os cibercriminosos começaram a expandir o repertório de técnicas usadas em seus ataques BEC para incluir ferramentas como RATs e keyloggers e espera-se que utilizem tecnologias ainda mais avançadas, como deepfakes (conforme observado nas previsões para 2020 da Trend Micro). Para ajudar empresas e usuários a se defenderem dos ataques BEC, recomendamos as seguintes práticas:

  • Os destinatários de transações comerciais ou solicitações de e-mail sempre devem estar atentos a sinalizadores ou qualquer outro elemento suspeito – por exemplo, alterações nas assinaturas ou mensagens de e-mail enviadas sem o contexto apropriado.
  • As solicitações de transferência e pagamento de fundos sempre devem ser verificadas, de preferência confirmando a transação com o remetente. Também é incentivada a aprovação secundária por alguém de nível hierárquico mais elevado da empresa.
  • Os usuários devem evitar clicar em links ou fazer download de anexos, a menos que tenham certeza de que um e-mail é legítimo e enviado de um endereço não malicioso.

Além das práticas recomendadas acima, as organizações também podem considerar a adoção de tecnologias avançadas para se defender contra ataques de BEC. Como por exemplo, o Trend Micro™ Cloud App Security™ e o ScanMail™ Suite para Microsoft® Exchange™ que empregam Writing Style DNA para auxiliar na detecção das táticas de falsificação de e-mail usadas no BEC e em golpes similares. O Writing Style DNA usa inteligência artificial (AI) para reconhecer o DNA do estilo de escrita de um usuário com base em e-mails passados e, em seguida, compara-o a suspeitas de falsificações. A tecnologia verifica a legitimidade do estilo de escrita do conteúdo do e-mail por meio de um modelo de machine learning que contém as características de escrita do remetente legítimo do e-mail.