Uma nova campanha de contaminações com ransomware está usando falsos e-mails do TripAdvisor como a isca para atacar usuários e seus negócios. As mensagens indicam a publicação de uma reclamação sobre um estabelecimento, normalmente restaurantes e hotéis, e acompanham um arquivo anexado, que traz o vírus responsável por sequestrar os dados dos dispositivos em troca de resgate.
- Microsoft foi marca mais imitada em golpes online até junho deste ano
- OBS, VLC, WinRAR e outros apps viram iscas em anúncios fraudulentos no Google
A onda de golpes vem circulando desde meados da última semana e não usam técnicas muito sofisticadas, mas confiam na curiosidade e nervosismo dos donos de negócios para ser eficaz. Em alguns casos, além da publicação da reclamação em si, também há menções a uma possível suspensão da conta usada pelo estabelecimento, como forma de induzir a possível vítima a abrir a mensagem sem pensar muito sobre a segurança.
A campanha descoberta pelo pesquisador Felix Weyne, da empresa de cibersegurança Sophos, utiliza técnicas conhecidas e chegou a ser atualizada posteriormente, ganhando elementos um pouco mais intrincados. No primeiro formato, os estabelecimentos recebiam e-mails com dados compactados em anexo — dentro, estava um executável do ransomware Knight, já conhecido da comunidade de proteção digital como uma variante do vírus Cyclop lançada em maio deste ano.
–
Baixe nosso aplicativo para iOS e Android e acompanhe em seu smartphone as principais notícias de tecnologia em tempo real.
–
Já na segunda versão, que tenta ser um pouco mais sofisticada, a infecção acontece a partir de uma página HTML, disfarçada de documento PDF. Ao ser aberto, o golpe simula a abertura de uma nova janela no navegador e indica um botão para leitura da reclamação, que por sua vez, executa um arquivo do Excel comprometido, que abre as portas para a contaminação com o malware.
Não existe, claro, reclamação alguma e, após realizar o travamento das informações, é exibida uma nota de resgate, que inclui o pedido de pagamento de US$ 5 mil, ou aproximadamente R$ 25 mil, em Bitcoins. O arquivo também inclui um link para um site na dark web, que indica o e-mail para o qual as vítimas devem enviar comprovações de pagamento para receberem a ferramenta de liberação dos arquivos — não há possibilidade de negociação ou mudança nos valores, avisam os bandidos.
Ataques são simples, mas têm amplo alcance
Enquanto as técnicas usadas pelos bandidos responsáveis não são necessariamente sofisticadas, o mesmo não pode ser dito do vírus usados para atacar. Parte de uma campanha de ransomware como serviço, o Knight tem versões Windows, macOS e Linux, sendo capaz de atingir de computadores pessoais até servidores. Uma versão “Lite”, vendida por valores mais baixos, também está disponível, possibilitando ondas de ataques envolvendo a distribuição massiva de spam, como no caso relatado pela Sophos.
Os métodos, porém, levam a indicações diretas de perigo por parte dos sistemas operacionais. Arquivos em formato ZIP e, principalmente, EXE, são vistos como sinal alto de perigo por plataformas de segurança, com os e-mails fraudulentos podendo ser bloqueados antes mesmo de chegarem aos olhos dos usuários. O mesmo também vale para os documentos do Excel, com múltiplos avisos do Office sendo exibidos antes de a exploração funcionar.
Além disso, uma mesma carteira de criptomoedas é usada em todas as notas de resgate enviadas pela quadrilha responsável, o que impede que pagamentos específicos sejam identificados. Também não há registro de transferências para os endereços indicados, sinal de uma campanha mal-sucedida. Seja como for, a recomendação, neste e em todos os casos, é que as vítimas não enviem os valores, já que não há garantia nenhuma de que os bandidos cumprirão sua parte do trato, possibilitando a recuperação dos arquivos.
Prestar atenção em e-mails de phishing, principalmente aqueles com conteúdo alarmista, é o melhor caminho para a proteção digital. Desconfie de mensagens que não vierem de fontes conhecidas ou a partir de domínios legítimos de serviços online, jamais clicando em links, realizando cadastros ou baixando arquivos a partir destas fontes; os sites oficiais devem ser buscados para verificação de alertas ou outros tipos de comunicação com os usuários.
Trending no Canaltech:
- iPhone 15 Pro tem protótipo não funcional vazado mostrando design
- Elon Musk cogita trocar luta com Mark Zuckerberg por debate verbal
- Pente de memória RAM “falso” para decoração é nova tendência
- Sonda espacial da NASA encontra luz no espaço sem explicação
- 10 referências e easter eggs em Thor: Amor e Trovão
- Uber lança viagens em grupo no Brasil e promete até 30% de economia
Fonte: Canaltech
