Basecamp e Slack estão sendo usados por criminosos para distribuir malware

Basecamp e Slack estão sendo usados por criminosos para distribuir malware

Por Ramon de Souza | Editado por Claudio Yuge | 19 de Abril de 2021 às 10h17
Visual Content/Visual Hunt

Pesquisadores da Sophos emitiram um alerta a respeito de duas novas campanhas de phishing que abusam de duas famosas plataformas profissionais de colaboração corporativa: o Slack (focado em comunicação de times) e o Basecamp (empregado para gerenciamento de projetos). Segundo os especialistas, ambas as movimentações visam atingir empresas de grande porte e têm como objetivo distribuir o loader BazarLoader — que nada mais é do que um “entregador” capaz de instalar outros malwares.

As campanhas se baseiam em uma fraqueza já relatada nesses softwares: a possibilidade de armazenar arquivos e criar links públicos dentro do sistema de Rede de Entrega de Conteúdo (Content Delivery Network ou CDN). Na primeira campanha, o ator malicioso envia mensagens para os usuários da plataforma sobre supostos boletos, contratos, recibos etc., junto com o link para o documento infectado. Basta que o arquivo seja aberto para que o código malicioso tome conta do computador.

Já na segunda campanha, o criminoso primeiramente envia um e-mail afirmando que o período de testes gratuito do programa está encerrando e que, caso a assinatura não seja cancelada, uma cobrança colossal será aplicada contra a empresa. Para fazer o cancelamento, seria necessário entrar em contato com um número telefônico. Durante a chamada, o meliante informa uma URL com um botão “Desinscrever”, que, na verdade, inicia o download do malware.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

Exemplo de campanha maliciosa (Imagem: Reprodução/Sophos)

"O BazarLoader apareceu pela primeira vez há cerca de um ano, fornecendo ransomwares como o Ryuk e outros malwares, às vezes junto com o Trickbot. Nossa análise do comportamento e das características do BazarLoader sugere que os invasores podem estar experimentando novas abordagens para visar negócios de alto valor”, explica Andrew Brandt, pesquisador de segurança da Sophos. “Os ataques a funcionários corporativos por meio das plataformas Slack e BaseCamp duraram apenas algumas semanas”, completa.

A orientação de segurança aqui continua sendo a mesma — desconfie de links estranhos, especialmente se forem enviados por pessoas desconhecidas. No caso da segunda campanha, procure sempre tirar dúvidas a respeito de pagamentos com a central de atendimentos oficial da plataforma em vez de confiar em um email aleatório.

Fonte: Sophos

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.