Novos ataques de malware chamados Harry Potter revelam campanha global de espionagem

Pesquisadores de segurança detectaram novos malwares suspeitos de espionagem. Os hackers infectam dispositivos se passando por agências governamentais, normalmente agências fiscais como o Internal Revenue Service (IRS). Depois que o malware estiver em um PC, ele poderá coletar informações (coletando dados pessoais, senhas e muito mais), baixar malware adicional e fazer upload de dados para o servidor do hacker. Ele faz tudo isso usando o Planilhas Google para evitar suspeitas e armazenar dados.

RECEBA ALERTAS DE SEGURANÇA E DICAS DE ESPECIALISTAS – ASSINE A NEWSLETTER KURT – O RELATÓRIO CYBERGUY AQUI

Tudo começa com um e-mail falso

Os hackers por trás do malware, chamados “Voldemort”, o projetaram de forma inteligente para evitar a detecção. Assim como o nome Voldemort significou problemas na série Harry Potter de JK Rowling, também está causando problemas no mundo da segurança cibernética.

O ataque cibernético começa quando você recebe um e-mail que parece vir de uma agência fiscal governamental. De acordo com ponto de testeOs hackers por trás desta campanha se passaram por agências fiscais em vários países, incluindo os EUA (IRS), o Reino Unido (HM Revenue & Customs), França (Direction Générale des Finances Publiques), Alemanha (Bundeszentralamt für Steuern), Itália (Agenzia delle Entrate) e, a partir de 19 de agosto, Índia (Departamento de Imposto de Renda) e Japão (Agência Nacional de Impostos). Cada honeypot de e-mail foi personalizado e escrito no idioma da autoridade fiscal personificada.

Os analistas da Proofpoint descobriram que os hackers adaptaram seus e-mails de phishing para corresponder ao país de residência do alvo com base em informações publicamente disponíveis, e não na localização da organização ou no idioma sugerido pelo endereço de e-mail. Por exemplo, alguns alvos de uma organização europeia receberam e-mails fazendo-se passar pelo IRS porque estavam ligados aos EUA em registos públicos. Em alguns casos, os hackers confundiram o país de residência quando o alvo compartilhou um nome com uma pessoa mais importante.

O e-mail também tenta imitar o e-mail de uma agência governamental. Por exemplo, os americanos receberam e-mails falsos usando “no_reply_irs[.]gov@amecaindustrial[.]com.”

O ataque é realizado de forma inteligente no seu dispositivo

No e-mail falso, hackers se passando por governo avisam sobre mudanças nas taxas e sistemas de impostos e pedem que você clique em um link para ler um guia detalhado. Clicar no link o levará a uma página de destino, que usa URLs de cache de AMP do Google para redirecioná-lo para uma página com um botão “Clique para visualizar o documento”.

Após clicar no botão, os hackers verificam se você está usando um dispositivo Windows. Neste caso, você será redirecionado para outra página. Ao interagir com esta página, é acionado um download que parece um arquivo PDF na pasta de downloads do seu PC, mas na verdade é um arquivo LNK ou ZIP hospedado em um servidor externo.

Quando você abre o arquivo, ele executa um script Python de outro servidor sem baixar o script para o seu computador. Este script coleta informações do sistema para criar um perfil seu, enquanto abre um PDF falso para ocultar atividades maliciosas.

Baixe um arquivo que se pareça com um arquivo PDF para a pasta de downloads do seu PC (Proofpoint) (Kurt “CyberGuy” Knutsson)

Voldemort usa o Planilhas Google para armazenar dados

Assim que o malware infectar com sucesso o seu dispositivo Windows, você será capaz de:

• Assobiar: Verifique se você ainda está conectado ao seu servidor de controle.
• Diretório: Obtenha uma lista de arquivos e pastas em seu sistema
• Descarga: Envie arquivos do seu sistema para o servidor de controle
• Aumentar– Coloque arquivos do servidor de controle em seu sistema
• executivo: Execute comandos ou programas específicos em seu sistema
• Cópia: Copie arquivos ou pastas para o seu sistema
• Mover: mova arquivos ou pastas em seu sistema
• Dormir: pause sua atividade por um determinado tempo
• Saída: Pare de executar em seu sistema

O malware usa o Planilhas Google como centro de comando, onde obtém novas instruções e armazena dados roubados. Cada dispositivo infectado envia seus dados para células específicas do Planilhas Google, marcadas com IDs exclusivos para manter tudo organizado.

Voldemort interage com o Planilhas Google por meio da API do Google, usando um ID de cliente integrado, um segredo e um token de atualização armazenado em sua configuração criptografada. Esse método oferece ao malware uma maneira confiável de se comunicar sem levantar suspeitas, já que o Planilhas Google é amplamente utilizado em empresas, dificultando o bloqueio das ferramentas de segurança.

COMO RECONHECER E EVITAR SER VÍTIMA DE GOLPES DE ALUGUEL DE FÉRIAS

4 maneiras de se proteger contra ataques de malware

Os hackers estão lançando malwares cada vez mais sofisticados, mas isso não significa que você esteja indefeso. Abaixo estão algumas dicas para ajudar a protegê-lo contra esses tipos de ataques.

1) Leia os e-mails confidenciais com atenção: A melhor maneira de detectar e-mails falsos que enviam malware é revisá-los cuidadosamente. Embora os hackers possam ser conhecedores de tecnologia, suas habilidades linguísticas muitas vezes não são perfeitas. Por exemplo, nas capturas de tela acima, você pode ver erros de digitação como “Contribuintes” em vez de “Contribuintes”. As agências governamentais nem sempre cometem esses tipos de erros.

2) Verifique o domínio do e-mail: Verifique se o domínio de e-mail corresponde à organização que você afirma representar. Por exemplo, um e-mail do IRS deve vir de um endereço que termine em “@irs.gov”. Tenha cuidado com pequenos erros ortográficos ou variações de domínio.

3) Invista em serviços de remoção de dados: Os hackers atacam você com base em suas informações disponíveis publicamente. Pode ser qualquer coisa, desde informações vazadas por meio de uma violação de dados até informações fornecidas a uma loja de comércio eletrônico. Confira minhas principais opções para serviços de remoção de dados aqui.

4) Tenha um software antivírus poderoso: Se você tiver um software antivírus poderoso instalado em seu dispositivo, ele poderá protegê-lo quando você receber esses tipos de e-mails fraudulentos ou abrir acidentalmente o anexo ou clicar em um link. A melhor maneira de se proteger contra cliques em links maliciosos que instalam malware que pode acessar suas informações privadas é ter proteção antivírus instalada em todos os seus dispositivos. Isso também pode alertá-lo sobre e-mails de phishing ou golpes de ransomware. Obtenha minhas escolhas dos melhores vencedores de proteção antivírus de 2024 para seus dispositivos Windows, Mac, Android e iOS.

INSCREVA-SE NO CANAL DO KURT NO YOUTUBE PARA VÍDEOS DE DICAS RÁPIDAS DE COMO TRABALHAR TODOS OS SEUS DISPOSITIVOS TÉCNICOS

A principal lição de Kurt

Embora os pesquisadores não possam dizer com certeza, muitas das técnicas utilizadas pelo malware são semelhantes às empregadas por hackers suspeitos de espionagem. Mesmo que esta avaliação se revele incorrecta, a escala e a sofisticação do ataque são preocupantes. Qualquer pessoa sem conhecimento técnico pode facilmente ser vítima e perder dados pessoais e dinheiro. Este ataque visa especificamente usuários do Windows, o que também levanta questões sobre a estrutura de segurança da Microsoft.

Que medidas você acha que as organizações deveriam implementar para proteger melhor as pessoas contra ataques de malware? Informe-nos escrevendo para nós em Cyberguy.com/Contato.

Para obter mais dicas técnicas e alertas de segurança, inscreva-se no meu boletim informativo gratuito CyberGuy Report acessando Cyberguy.com/Newsletter.

Faça uma pergunta a Kurt ou conte-nos quais histórias você gostaria que cobrissemos..

Siga Kurt em seus canais sociais:

Respostas às perguntas mais frequentes do CyberGuy:

Notícias Kurt:

Copyright 2024 CyberGuy.com. Todos os direitos reservados.