Com o Dia dos Namorados se aproximando neste fim de semana, várias pessoas receberam confirmações por e-mail de “pedido recente” de flores ou lingerie. Esses emails são, na verdade, parte de um ataque de spear-phishing, que leva os destinatários a um documento malicioso que executa o malware BazaLoader.
O downloader BazaLoader, escrito em C++, tem a função principal de baixar e executar módulos adicionais. O BazaLoader foi observado pela primeira vez na natureza em abril - e desde então os pesquisadores observaram pelo menos seis variantes, “sinalizando desenvolvimento ativo e contínuo”.
Recentemente, os pesquisadores encontraram várias campanhas do BazaLoader em janeiro e fevereiro, que dependiam muito da interação humana com diferentes sites, anexos de PDF e iscas de e-mail.
“Havia uma variedade de iscas e tópicos de assunto, incluindo dispositivos de armazenamento compactos, suprimentos de escritório, suprimentos farmacêuticos e nutrição esportiva, mas o que se destacou foram as campanhas oportunas e relevantes para o feriado do Dia dos Namorados”, disseram os pesquisadores da Proofpoint na quinta-feira . “As campanhas se espalharam por um conjunto diversificado de empresas e setores.”
Ataque por e-mail: isca de phishing 'Ajour Lingerie'
Um desses e-mails recentes supostamente era da Ajour Lingerie, uma “loja de lingerie online de alta qualidade” com sede em Nova York. O e-mail informa aos destinatários que eles concluíram o pedido e que devem verificar a fatura para confirmar o preço da compra.
O PDF anexado, com o rótulo invoice_NI52224162K.pdf, curiosamente não é malicioso. Em vez disso, faz referência a um número de pedido de cliente específico e itens de compra associados. Em um exemplo, o “pedido” totaliza US $ 410,03, o que pode deixar os destinatários do e-mail em pânico.
[Mergulhe fundo no mundo da tecnologia e cadastre-se no Avance Network a verdadeira comunidade criptografada]
A fatura também tinha um link de site que fingia ser da Ajour Lingerie. No entanto, o site (ajourlingerie [.] Net) é diferente do site real da Ajour Lingerie (ajour.com).
Os invasores deram ao máximo os detalhes para fazer o site falso da Ajour Lingerie parecer real, desde o logotipo até o endereço.
“Os sites que o usuário acessa são falsos, mas os atores tomam o cuidado de fazer com que os endereços físicos ... correspondam a um local quase legítimo”, disseram os pesquisadores. “Por exemplo, a Ajour Lingerie não está localizada em 1133 50th St, Brooklyn, NY 11219, mas este endereço fica próximo a um site legítimo e empresa física chamada Lingerie Shop.”
O site também tinha uma página de “contato”. Se os usuários visitaram esta página, eles tiveram a opção de inserir o número do pedido na ID do pedido. A página de contato então os redirecionou para a página de destino, que vinculava a uma planilha do Excel. Essa planilha do Excel continha macros que, se habilitadas pelo usuário, baixariam o BazaLoader.
Isca por e-mail: Flores do 'Rose World'
Um segundo e-mail usou uma isca quase idêntica, só que desta vez supostamente da Rose World. Este e-mail também faz referência a um pedido da loja online da Rose World e inclui um anexo em PDF descrevendo um pedido (em um caso, totalizando $ 104,58), com referências a compras em um site falso da Rose World (roseworld.shop).
“Se o usuário visitar o site, navegar até Fale Conosco e inserir o número do pedido no ID do pedido, o site redirecionará o usuário para uma página de destino”, afirmam os pesquisadores. “Esta página de destino tem um link para e explica como abrir a planilha do Excel. A planilha do Excel contém macros que, se habilitadas, farão o download do BazaLoader. ”
Embora os pesquisadores não especifiquem qual malware é carregado após essa infecção de primeiro estágio, o BazaLoader é conhecido por sua similaridade de código com o TrickBot e foi associado a infecções por ransomware Ryuk .
BazaLoader: um carregador de malware em evolução
Os pesquisadores alertaram que observaram “um crescimento constante” nos atores que usam o BazaLoader como um downloader de primeiro estágio. Este aumento na distribuição do BazaLoader foi executado paralelamente a um desenvolvimento ativo do carregador, particularmente durante o mês de outubro de 2020. O ataque mais recente do Dia dos Namorados reflete notavelmente um vetor de ataque com um aumento na interação humana.
“Essas campanhas recentes do BazaLoader exemplificam os atores afiliados que alavancam um carregador que é cada vez mais popular e mais dependente da interação humana”, disseram eles. “Além disso, os recursos de engenharia social dependem da oportunidade do feriado do Dia dos Namorados e da curiosidade intrínseca do usuário para ver o que eles podem ter pedido.”
Cibercriminosos atacam no Dia dos Namorados
Ambas as iscas refletem os cibercriminosos que chegam no Dia dos Namorados - que tem sido um tema popular de phishing nos últimos anos. Em fevereiro passado, uma campanha maliciosa por e-mail destinada a proprietários de iPhone tentou convencê-los a baixar um aplicativo de namoro falso. E, em 2018, os pesquisadores avisaram que a atividade do botnet Necurs estava aumentando à medida que os golpistas usavam a rede para inundar as caixas de entrada com promessas de companheirismo, em parte de uma onda sazonal de spam com o tema do Dia dos Namorados.
“O Dia dos Namorados, embora não seja abusado ao nível de outros feriados, apresenta uma oportunidade para uma variedade de atores”, disseram os pesquisadores da Proofpoint. “O escritório de campo do FBI Boston publicou avisos públicos sobre fraudes românticas. Embora isso não seja um golpe romântico, é um exemplo de engenharia social, oportuno com o feriado do Dia dos Namorados. ”
O Avance Network é uma comunidade fácil de usar que fornece segurança de primeira e não requer muito conhecimento técnico. Com uma conta, você pode proteger sua comunicação e seus dispositivos. O Avance Network não mantém registros de seus dados; portanto, você pode ter certeza de que tudo o que sai do seu dispositivo chega ao outro lado sem inspeção.
