Cyber Criminosos enviam intimações falsas a altos executivos
02.05.2008
Em meados de abril, recebemos relatos de uma suposta intimação enviada via e-mail diretamente a alguns altos executivos. Para os analistas de segurança, isto não foi nenhuma surpresa, já que se sabe que mensagens spam assumem formas e assuntos variados. Contudo, ao seguir a trilha do ataque, nossos pesquisadores logo descobriram que o plano é bem mais sofisticado. Veja como funciona:
1. A intimação chega à caixa postal do usuário
2. O usuário clica no link para abrir um Web site
3. O usuário baixa uma atualização solicitada pelo Web site
4. O usuário clica no arquivo baixado para instalá-lo no PC
5. TROJ_AGENT.AMAL se conecta a uma URL para baixar outro arquivo
1. Executivos selecionados recebem uma mensagem de e-mail que, supostamente, traz uma intimação judicial. O corpo da mensagem diz que o destinatário deve comparecer ao fórum e que os documentos relacionados podem ser encontrados no link fornecido. A mensagem é uma boa isca por utilizar as seguintes técnicas de engenharia social:
• O remetente utiliza um endereço de e-mail com o domínio uscourts.com
• O assunto do e-mail pode causar pânico no destinatário, fazendo com que ele clique no link oferecido
• A mensagem de e-mail contém dados precisos, como nome do destinatário, empresa e número de telefone.
2. Quando o link é clicado, o browser abre um site que se parece com o site oficial das cortes americanas (U.S. Courts). O banner do site pode ser visto, mas o texto na página indica que o conteúdo não pode ser visualizado, pois a vítima deveria utilizar o Internet Explorer 5.5 ou mais recente. Isto é muito estranho, pois o IE está em sua oitava versão, e a versão 5.5 foi lançada a 8 anos. O site oferece um link para obter a falsa atualização.
3. Depois de clicar o link, a caixa de diálogo de download se abre normalmente, fazendo com que usuários familiarizados com este procedimento aceitem salvar o arquivo em seus computadores.
4. Os usuários então executam o arquivo baixado para instalar a atualização. O arquivo utiliza um ícone legítimo do Adobe PDF, mas na verdade é o TROJ_AGENT.AMAL.
5. TROJ_AGENT.AMAL se registra como um Browser Helper Object (Objeto de Auxílio ao Browser) e conecta a determinado URL para baixar outro arquivo malicioso (neste caso, o TROJ_DROPPER.LOZ). Além disto, ele periodicamente envia informações sobre o usuário e sua máquina para determinado IP.
Este ataque é direcionado a altos executivos, e seu trunfo é o fato de que os autores possuem algumas informações pessoais a respeito de suas vítimas antes do envio do e-mail. Ao citar dados sobre a vítima, o autor do malware estabelece credibilidade, diminuindo a probabilidade de que a vítima suspeite a fraude. Como o ataque é direcionado a poucos usuários, recebe menos visibilidade, dando aos autores mais tempo para evitar sua detecção por empresas de segurança.
Com base na reputação do servidor DNS utilizado no ataque, nossos pesquisadores acreditam que o ataque pode ser resultado do trabalho de autores de malware na Rússia e Ucrânia afiliados ao Russian Business Network (RBN), um grupo suspeito de cyebrcriminosos. Alguns dias depois do primeiro relato, nossos pesquisadores encontraram o mesmo site falso do U.S. Courts com outro nome de domínio. Isto pode indicar que outro ataque está sendo preparado, ou que os autores de malware por trás deste ataque perceberam que as empresas de segurança já começaram a bloquear URLs relacionadas.
Risco e Exposição do Usuário
Usuários têm mais probabilidade de ser vitimados por um ataque dirigido como este, pois a mensagem de e-mail parece vir de uma fonte confiável (note, no entanto, que o domínio de e-mail oficial do U.S. Courts é uscourts.gov, e não uscourts.com), contém informação sobre o destinatário, e aparentemente traz informações importantes. O Web site que se abre quando o link no e-mail é clicado se parece com o site oficial. Até mesmo o arquivo baixado do site falso traz um ícone legítimo da Adobe PDF.
Recomendações e Soluções da Trend Micro
As soluções de proteção para ameaças Web da Trend Micro oferecem defesa multi-camadas contra ameaças que se aproveitam da natureza interativa da Internet – protegendo a informação do usuário no gateway, na rede, na estação de trabalho e na nuvem da Internet.
A tecnologia anti-spam da Trend Micro bloqueia e-mails indesejados de spam e phishing no gateway, evitando que usuários recebam mensagens em massa. Além disto, a Trend Micro recomenda que os usuários ativem os filtros spam de seus e-mails. Outra camada de proteção é oferecida pela tecnologia Web Reputation, que identifica Web sites notoriamente maliciosos ou perigosos, bloqueando o acesso de usuários com base em cotações de reputação de domínios. A tecnologia de File Reputation verifica a integridade de arquivos baixados sem o conhecimento do usuário. Ao nível desktop, a tecnologia antivírus detecta malware como o TROJ_AGENT.AMAL e TROJ_DROPPER_LOZ.
Fonte: Trend Micro
02.05.2008
Em meados de abril, recebemos relatos de uma suposta intimação enviada via e-mail diretamente a alguns altos executivos. Para os analistas de segurança, isto não foi nenhuma surpresa, já que se sabe que mensagens spam assumem formas e assuntos variados. Contudo, ao seguir a trilha do ataque, nossos pesquisadores logo descobriram que o plano é bem mais sofisticado. Veja como funciona:
1. A intimação chega à caixa postal do usuário
2. O usuário clica no link para abrir um Web site
3. O usuário baixa uma atualização solicitada pelo Web site
4. O usuário clica no arquivo baixado para instalá-lo no PC
5. TROJ_AGENT.AMAL se conecta a uma URL para baixar outro arquivo
1. Executivos selecionados recebem uma mensagem de e-mail que, supostamente, traz uma intimação judicial. O corpo da mensagem diz que o destinatário deve comparecer ao fórum e que os documentos relacionados podem ser encontrados no link fornecido. A mensagem é uma boa isca por utilizar as seguintes técnicas de engenharia social:
• O remetente utiliza um endereço de e-mail com o domínio uscourts.com
• O assunto do e-mail pode causar pânico no destinatário, fazendo com que ele clique no link oferecido
• A mensagem de e-mail contém dados precisos, como nome do destinatário, empresa e número de telefone.
2. Quando o link é clicado, o browser abre um site que se parece com o site oficial das cortes americanas (U.S. Courts). O banner do site pode ser visto, mas o texto na página indica que o conteúdo não pode ser visualizado, pois a vítima deveria utilizar o Internet Explorer 5.5 ou mais recente. Isto é muito estranho, pois o IE está em sua oitava versão, e a versão 5.5 foi lançada a 8 anos. O site oferece um link para obter a falsa atualização.
3. Depois de clicar o link, a caixa de diálogo de download se abre normalmente, fazendo com que usuários familiarizados com este procedimento aceitem salvar o arquivo em seus computadores.
4. Os usuários então executam o arquivo baixado para instalar a atualização. O arquivo utiliza um ícone legítimo do Adobe PDF, mas na verdade é o TROJ_AGENT.AMAL.
5. TROJ_AGENT.AMAL se registra como um Browser Helper Object (Objeto de Auxílio ao Browser) e conecta a determinado URL para baixar outro arquivo malicioso (neste caso, o TROJ_DROPPER.LOZ). Além disto, ele periodicamente envia informações sobre o usuário e sua máquina para determinado IP.
Este ataque é direcionado a altos executivos, e seu trunfo é o fato de que os autores possuem algumas informações pessoais a respeito de suas vítimas antes do envio do e-mail. Ao citar dados sobre a vítima, o autor do malware estabelece credibilidade, diminuindo a probabilidade de que a vítima suspeite a fraude. Como o ataque é direcionado a poucos usuários, recebe menos visibilidade, dando aos autores mais tempo para evitar sua detecção por empresas de segurança.
Com base na reputação do servidor DNS utilizado no ataque, nossos pesquisadores acreditam que o ataque pode ser resultado do trabalho de autores de malware na Rússia e Ucrânia afiliados ao Russian Business Network (RBN), um grupo suspeito de cyebrcriminosos. Alguns dias depois do primeiro relato, nossos pesquisadores encontraram o mesmo site falso do U.S. Courts com outro nome de domínio. Isto pode indicar que outro ataque está sendo preparado, ou que os autores de malware por trás deste ataque perceberam que as empresas de segurança já começaram a bloquear URLs relacionadas.
Risco e Exposição do Usuário
Usuários têm mais probabilidade de ser vitimados por um ataque dirigido como este, pois a mensagem de e-mail parece vir de uma fonte confiável (note, no entanto, que o domínio de e-mail oficial do U.S. Courts é uscourts.gov, e não uscourts.com), contém informação sobre o destinatário, e aparentemente traz informações importantes. O Web site que se abre quando o link no e-mail é clicado se parece com o site oficial. Até mesmo o arquivo baixado do site falso traz um ícone legítimo da Adobe PDF.
Recomendações e Soluções da Trend Micro
As soluções de proteção para ameaças Web da Trend Micro oferecem defesa multi-camadas contra ameaças que se aproveitam da natureza interativa da Internet – protegendo a informação do usuário no gateway, na rede, na estação de trabalho e na nuvem da Internet.
A tecnologia anti-spam da Trend Micro bloqueia e-mails indesejados de spam e phishing no gateway, evitando que usuários recebam mensagens em massa. Além disto, a Trend Micro recomenda que os usuários ativem os filtros spam de seus e-mails. Outra camada de proteção é oferecida pela tecnologia Web Reputation, que identifica Web sites notoriamente maliciosos ou perigosos, bloqueando o acesso de usuários com base em cotações de reputação de domínios. A tecnologia de File Reputation verifica a integridade de arquivos baixados sem o conhecimento do usuário. Ao nível desktop, a tecnologia antivírus detecta malware como o TROJ_AGENT.AMAL e TROJ_DROPPER_LOZ.
Fonte: Trend Micro
 |
 |
 |
| Porto Alegre: 55 51 3029.0029 - Curitiba: 55 41 3027.2700 - Plantão 24 horas: 55 51 9330.0306 |
|
© 2008 PBI. Todos os direitos reservados. | Mapa do Site | Notas Legais | Política de Privacidade |
|