Princípios importantes
- Os invasores por trás de um malware que rouba senhas estão usando métodos inovadores para fazer com que as pessoas abram e-mails maliciosos.
- Os invasores usam a caixa de entrada invadida de um contato para inserir os anexos carregados de malware em conversas de e-mail em andamento.
-
Pesquisadores de segurança sugerem que o ataque destaca o fato de que as pessoas não devem abrir anexos cegamente, mesmo aqueles de contatos conhecidos.
Pode parecer estranho quando seu amigo entra em uma conversa de e-mail com um anexo que você esperava, mas duvidar da legitimidade da mensagem pode salvá-lo de malware perigoso.
Detetives de segurança da Zscaler compartilharam detalhes sobre os agentes de ameaças usando novos métodos na tentativa de contornar a detecção, para circular um malware potente para roubar senhas chamado Qakbot. Os pesquisadores de segurança cibernética estão alarmados com o ataque, mas não surpresos com o refinamento de suas técnicas pelos invasores.
"Os cibercriminosos estão constantemente atualizando seus ataques para tentar evitar a detecção e, finalmente, atingir seus objetivos", disse Jack Chapman, vice-presidente de inteligência de ameaças da Egress, à Lifewire por e-mail. "Então, mesmo que não saibamos especificamente o que eles tentarão em seguida, sabemos que sempre haverá uma próxima vez e que os ataques estão em constante evolução."
Hacker da vizinhança amigável
Em seu post, o Zscaler percorre as várias técnicas de ofuscação que os invasores empregam para fazer com que as vítimas abram seus e-mails.
Isso inclui o uso de nomes de arquivos atraentes com formatos comuns, como. ZIP, para induzir as vítimas a baixar os anexos maliciosos.
A ofuscação de malware é uma tática popular há muitos anos, compartilhou Chapman, dizendo ter visto ataques ocultos em vários tipos de arquivos diferentes, incluindo PDFs e todos os tipos de documentos do Microsoft Office.
"Ataques cibernéticos sofisticados são projetados para ter a melhor chance possível de atingir seus alvos", disse Chapman.
Curiosamente, o Zscaler observa que os anexos maliciosos são inseridos como respostas em tópicos de e-mail ativos. Mais uma vez, Chapman não está surpreso com a engenharia social sofisticada em jogo nesses ataques. "Uma vez que o ataque atingiu o alvo, o cibercriminoso precisa que eles tomem medidas - neste caso, para abrir o anexo do e-mail", compartilhou Chapman.
Keegan Keplinger, líder de pesquisa e relatórios da eSentire, que detectou e bloqueou uma dúzia de incidentes de campanha Qakbot somente em junho, também apontou o uso de caixas de entrada de e-mail comprometidas como um destaque do ataque.
"A abordagem do Qakbot ignora as verificações de confiança humana, e os usuários são mais propensos a baixar e executar a carga útil, pensando que é de uma fonte confiável", disse Keplinger à Lifewire por e-mail.
Adrien Gendre, Chief Tech and Product Officer da Vade Secure, destacou que essa técnica também foi usada nos ataques Emotet de 2021.
"Os usuários geralmente são treinados para procurar endereços de e-mail falsificados, mas em um caso como esse, inspecionar o endereço do remetente não seria útil porque é um endereço legítimo, embora comprometido", disse Gendre à Lifewire em um discussão por e-mail.
A curiosidade matou o gato
Chapman diz que, além de aproveitar o relacionamento pré-existente e a confiança construída entre as pessoas envolvidas, o uso de tipos e extensões de arquivos comuns pelos invasores resulta em destinatários menos suspeitos e mais propensos a abrir esses anexos.
Paul Baird, diretor técnico de segurança do Reino Unido da Qualys, observa que, embora a tecnologia deva bloquear esses tipos de ataques, alguns sempre passarão despercebidos. Ele sugere que manter as pessoas cientes das ameaças atuais em um idioma que elas entendam é a única maneira de conter a disseminação.
"Os usuários devem tomar cuidado e ser treinados, pois mesmo um endereço de e-mail confiável pode ser malicioso se for comprometido", concordou Gendre. "Isso é especialmente verdadeiro quando um e-mail inclui um link ou um anexo."
Gendre sugere que as pessoas leiam cuidadosamente seus e-mails para garantir que os remetentes sejam quem afirmam ser. Ele ress alta que os e-mails enviados de contas comprometidas geralmente são curtos e diretos ao ponto com solicitações muito diretas, o que é um bom motivo para sinalizar o e-mail como suspeito.
Além disso, Baird aponta que os e-mails enviados pelo Qakbot normalmente serão escritos de forma diferente quando comparados às conversas que você costuma ter com seus contatos, o que deve servir como mais um sinal de alerta. Antes de interagir com qualquer anexo em um e-mail suspeito, Baird sugere que você se conecte com o contato usando um canal separado para verificar a autenticidade da mensagem.
"Se você receber algum e-mail [com] arquivos que [você] não esperava, então não olhe para eles", é o conselho simples de Baird. "A frase 'A curiosidade matou o gato' se aplica a qualquer coisa que você receba por e-mail."
