Ameaça de ataque químico é isca para ataques de phishing na Ucrânia

Um falso alerta de ataque químico é a arma de cibercriminosos para aplicar golpes de phishing em cidadãos da Ucrânia. O e-mail fraudulento é enviado em nome de agências do governo do país e informa sobre o uso bélico como forma de instalar um malware que rouba credenciais, mensagens e carteiras de criptomoedas.

• Ucrânia viu ciberataques triplicarem após invasão pela Rússia
• Cibersegurança em tempos de guerra: como reconhecer a ameaça invisível

O alerta sobre a campanha maliciosa foi feito pelo CERT (Centro de Estudos, Resposta e Tratamento de Incidentes em Segurança) da Ucrânia. O objetivo é apostar no medo dos cidadãos sobre uma escalada ainda maior nos conflitos com a Rússia para que eles abram arquivos anexos; neste caso, um documento XML com macros que, quando executados, realizam o download da ameaça.

Neste caso, a praga baixada é o Jester Stealer, vendido como serviço aos cibercriminosos devido às suas capacidades avançadas de roubo de informação. Os focos principais são o furto de credenciais salvas em navegadores populares e informações de acesso a carteiras de criptomoedas. Além disso, o malware também pode coletar e-mails e mensagens de aplicativos de conversa, além de registrar o que é digitado pelo usuário, e todo o conjunto é enviado aos criminosos de forma criptografada.

De acordo com o CERT, o ladrão de dados também possui capacidades furtivas, que o ajudam a escapar da detecção por softwares de segurança. A conexão encriptada com servidores na dark web, assim como o uso do Telegram para mandar os dados aos bandidos, ajudam o Jester Stealer a se manter oculto, ainda que ele não tente estabelecer permanência nas máquinas infectadas — ou seja, basta que o usuário o feche para que ele deixe de funcionar.

O texto do comunicado é alarmante, com informações sobre o uso de armas químicas à 1h da manhã do dia do recebimento da mensagem. O documento anexo, supostamente, traz informações sobre os locais que serão atacados e abrigos para a população. A campanha maliciosa ainda traz um pedido para que os cidadãos compartilhem a mensagem, a fim de ampliar o alcance da fraude e atrair mais vítimas.

Enquanto isso, o órgão do governo ucraniano não associou a campanha maliciosa a nenhum grupo cibercriminoso, ainda que ela tenha óbvias implicações na invasão do país pela Rússia, que está perto de completar três meses. Por outro lado, os especialistas apontam para agentes pouco especializados, devido ao uso de macros, uma tecnologia que já está caindo em desuso no cenário de ameaças, e ao próprio uso do Jester Stealer, que é vendido por valores baixos pelos desenvolvedores, por até US$ 249 (cerca de R$ 1.280) pelo uma licença de uso vitalícia.

Como sempre, a recomendação para que os cidadãos não caiam no golpe é evitar clicar em links ou abrir anexos que cheguem por e-mail. O governo da Ucrânia também alertou que, caso um alerta de ataque químico seja emitido pelas autoridades, ele jamais virá por mensagem de correio eletrônico, e sim, via transmissões de rádio e televisão, além de alarmes e informativos em alto-falantes das cidades.

Fonte: CERT-UA