Brasil ocupa segunda posição no ranking como alvo de ameaças Dridex

GestãoSegurança

A Trend Micro, empresa de segurança da informação, observou aumento repentino em uma campanha de e-mails de spam que afetou principalmente usuários nos Estados Unidos, Brasil, China, Alemanha e Japão – após aparente inatividade do Dridex, malware de ameaça aos bancos online, no início deste ano.

De acordo com a Trend Micro, existem diferenças significativas dessa campanha em particular em relação às aplicadas anteriormente. Em vez das habituais faturas ou notificações falsas usadas como isca, o Dridex brinca com o medo das pessoas em terem suas contas comprometidas.

Além da mudança nos assuntos de e-mail e do uso macro, o golpe utiliza o Certutil, um programa da Microsoft que configura serviços de certificado, faz backup e restaura componentes da autoridade de certificação para passar a ameaça como um certificado legítimo. Esses dois elementos combinados (uso de macros e do Certutil) podem aumentar a prevalência de Dridex e representar desafios para a detecção.

A Trend Micro analisou uma mensagem de e-mail que tem como assunto, Conta Comprometida e contém detalhes da suposta tentativa de acesso, incluindo o endereço IP para fazer com que pareça legítimo. No entanto, uma brecha foi encontrada. A mensagem não tem qualquer informação sobre que tipo de conta (e-mail, banco, contas de mídia social etc) está comprometida.  Esse tipo de notificação normalmente menciona o tipo de conta que um usuário remoto tenta acessar.

Os cibercriminosos talvez, acredita a Trend Micro, estejam apostando em táticas de intimidação para fazer com que as pessoas abram o arquivo ZIP em anexo, que supostamente tem o relatório completo. Se a vítima for levada a abrir o documento, verá um arquivo em branco instruindo-o a habilitar as funções macro. Isto, é claro, vai iniciar a cadeia de infecção do Dridex no sistema.

A pesquisa da Trend Micro revelou que o spam executado com o Dridex é semelhante ao Locky ransomware com o uso de macros e templates de e-mail idênticos. Em relação aos spams ligados aos ransomwares, é engano imaginar que o Dridex perdeu a sua visibilidade no cenário de ameaças. Com as suas novas táticas, como o uso de Certutil e de arquivos Personal Information Exchange (.PFX), um tipo de arquivo usado pelos softwares de certificados que armazena chaves públicas e privadas, o Dridex pode recuperar o seu lugar novamente como a principal ameaça de banking online.

Uma vez que o arquivo é baixado no formato PFX, isso evita a detecção do Dridex e o uso de macros permite que ocorrências similares passem desapercebidas pelas tecnologias de sandbox. Isto é uma indicação clara de que o Dridex está se nivelando para permanecer como a ameaça prevalente de online banking.

Como se proteger?

Apesar da prevalência da ameaça, os usuários e organizações podem tomar algumas medidas preventivas simples, como não abrir anexos e não habilitar macros quando receber e-mails de fontes desconhecidas.  A Trend Micro aconselha que quando o indivíduo receba e-mails sobre contas comprometidas, primeiro confira e verifique a fonte.

As empresas podem também criar políticas que bloqueie e-mail com anexos de fontes desconhecidas.  Também é recomendado que organizações eduquem seus funcionários sobre este tipo de ameaça.


Clique para ler a bio do autor  Clique para fechar a bio do autor