Vários malware, inclusive o crypto ransomware, agora usados em golpes de email de phishing

O crypto ransomware agora eclipsou as botnets como uma das maiores ameaças a empresas – especialmente quando relacionados a esquemas de email. O FBI recentemente divulgou um alerta para empresas e organizações sobre o SAMSAM, uma variante de ransomware conhecida por criptografar arquivos na máquina infectada e também os arquivos de toda a rede.

No passado, o spear phishing, uma forma direcionada de phishing projetada para enganar uma pessoa específica levando-a a divulgar acesso a credenciais ou a clicar em links maliciosos, foi amplamente empregada em campanhas de espionagem. Mas as coisas mudaram. Segundo o FBI, os cibercriminosos usaram esquemas de spear phishing em 17.642 vítimas em 2013, causando danos estimados em $2,3 milhões de dólares.

Recentemente, foi relatado que um grupo de atores de ameaças chamado TA530 tem visado executivos e outros funcionários de alto nível tentando comprometer suas máquinas com vários malware. O grupo é famoso por usar o CryptoWall, uma variante de ransomware que criptografa dados valiosos, exigindo uma taxa pesada para decodificar seus arquivos. Outras ameaças de seu arsenal de malware incluem o cavalo de Troia bancário Ursnif ISFB e o Ursnif/RecoLoad – cavalo de Troia de reconhecimento de ponto de venda (PDV) que é usado para visar setores de varejo e de hotelaria.

Esses ataques de spear phishing usam emails falsificados, onde os agressores primeiro enviam um email fingindo vir de um CFO ou gerente, ou alguém do departamento de finanças. Se o funcionário responde, os agressores irão encenar uma transferência maliciosa de fundos depois de coletar informações da vítima. O agressor então solicitará que a vítima transfira os fundos para uma conta bancária usando a linguagem dos emails anteriores. Ainda há outros casos de golpistas que fingem ser empresas fornecedoras, emitindo faturas para o CFO. Assim que os fundos são transferidos, eles imediatamente os mudam para outras contas, dificultando rastrear as transações.

Os esquemas BEC também dependem de um malware que rouba informações, normalmente enviado para os alvos como anexos em emails, muito parecido com uma campanha atual que usa um simples malware keylogger causando um substancial dano a seus alvos. Em março de 2015, o Olympic Vision se tornou o quarto malware usado em uma campanha BEC, visando 18 empresas dos EUA, Oriente Médio e Ásia. Nos casos relatados, o Olympic Vision simula legitimidade e urgência, sendo enviado para um funcionário em um anexo de email. Assim que é aberto, um backdoor é instalado, infectando o sistema da vítima e roubando dados críticos.

Empresas como a Seagate, Snapchat e Sprouts Farmer’s Market estavam entre as empresas que foram vítimas desse tipo de golpe. No fim do mesmo mês, a Pivotal Software, uma empresa de software e serviços de San Francisco foi atingida por uma violação através de um esquema de phishing que vazou um número não divulgado de informações fiscais de funcionários.

O FBI também recomendou que as empresas usem uma autenticação multifator em seus processos financeiros e controlem as comunicações que envolvam transações financeiras corporativas. As vítimas são aconselhadas a informar tanto seus bancos como o FBI assim que possível.