Pesquisadores descobriram atores de ameaças mais uma vez capitalizando na pandemia da COVID-19 e uma das ultimas é usando o nome da Organização Mundial da Saúde (OMS). Um novo e-mail criado e projetado para espalhar o trojan LokiBot que é enviado dentro de um arquivo em nome da OMS.
Os Pesquisadores do FortiGuard Labs, em 27 de março, observaram pela primeira vez o golpe malicioso com o COVID-19, que afirma ser da OMS e tenta resolver informações errôneas relacionadas à pandemia para convencer os usuários de que é autêntico. Em vez disso, ele envia um anexo que libera o LokiBot, se for baixado e executado, de acordo com um post publicado anteriormente pelo analista de ameaças Val Saengphaibul.
“O corpo do e-mail contém vários pontos sobre o controle de infecções e outras sugestões e recomendações, o que obviamente é uma atração para obrigar ainda mais o destinatário a continuar lendo”, escreveu ele no post. “E de uma maneira distorcida, as mensagens pretendem abordar informações errôneas relacionadas ao COVID-19 / Coronavirus”. Embora a mensagem, escrita em inglês, tenha características legítimas, os atores de ameaças por trás dela provavelmente não falam inglês como primeira língua devido a “alguns problemas gramaticais, pontuais e ortográficos óbvios”, ressaltou Saengphaibul.
A mensagem também é óbvia ao dizer que é do Centro de Controle de Doenças da OMS, vinculando a OMS, com sede na Suíça, ao Centro de Controle de Doenças (CDC) dos EUA – duas organizações totalmente separadas. Além disso, no corpo da mensagem, o autor usa a ortografia britânica do Centre, “Centre”, quando se refere ao CDC, em vez da ortografia americana.
Se a vítima chegar até aqui, o email conterá um arquivo compactado anexo “COVID_19- WORLD HEALTH ORGANIZATION CDC_DOC.zip.arj”, que pode ser aberto com o 7-Zip. O ARJ é um formato de compactação para “criar arquivos compactados altamente eficientes” e provavelmente é uma tática de evasão por parte dos atores de ameaças, escreveu Saengphaibul.
“Os invasores por trás desse último ataque provavelmente esperam que o formato ARJ possa acentuar as preocupações de uma vítima inocente sobre a abertura de um anexo desconhecido, uma vez que a população foi treinada para não abrir extensões de arquivo suspeitas, como .exe”, ele escreveu.
Se aqueles que recebem a mensagem clicam no anexo e descompactam o arquivo, ele se transforma em um que possui uma extensão “DOC.pdf.exe” em vez de no “Doc.zip.arj”, que ainda pode enganar os usuários com “um lapso julgamento ”ou que não notou a nova extensão ao clicar nela, disse Saengphaibul.
Se o fizerem, o arquivo infecta o sistema da vítima com Lokibot, um infostealer que levanta uma variedade de credenciais do sistema do usuário – incluindo credenciais de FTP, senhas de email armazenadas, senhas armazenadas no navegador e outras, disse ele. Em seguida, ele passa as informações filtradas para o seguinte URL: hxxp: // bslines [.] Xyz / copy / five / fre.php.
O LokiBot é um cavalo de Troia prolífico, famoso por ser simples e eficaz em sua capacidade de desviar informações de pontos de extremidade comprometidos. Atualmente, ele está sendo distribuído de várias formas que podem atrapalhar outros formatos de arquivo – como é o caso da campanha atual. Várias versões do LokiBot também no passado foram vendidas em mercados subterrâneos por apenas US $ 300.
Desde que foi detectada pela primeira vez, a nova campanha se tornou global, com Turquia, Portugal, Alemanha, Áustria e Estados Unidos mostrando os incidentes mais altos, segundo o post. A campanha também foi encontrada fazendo rondas na Bélgica, Porto Rico, Itália, Canadá e Espanha, mas com menos difusão, segundo Saengphaibul.
O ataque é uma das inúmeras ameaças à segurança surgidas na sequência do COVID-19, que visa tirar proveito do medo das pessoas em torno do coronavírus e da sede de informações de fontes confiáveis.
A OMS, em particular, tem sido usada para tentar enganar as vítimas, além de ser alvo de agressores. No início desta semana, os pesquisadores do Cofense revelaram novos ataques de phishing que usam táticas de falsificação para evitar efetivamente as principais proteções de e-mail e usam referências à OMS para enganar potenciais vítimas. Funcionários da OMS também observaram um aumento nos ataques cibernéticos desde o início da pandemia, disseram eles.
Fonte: ThreatPost
