Campanha de ransomware mira usuários do Microsoft Teams

Os aplicativos de conferência e chamadas de vídeo continuam sendo uma das grandes iscas dos hackers para a instalação de ransomwares, principalmente em redes e computadores corporativos. Agora, especialistas alertam para uma nova campanha visando usuários do Microsoft Teams, que podem ser alvo de anúncios e sites maliciosos que prometem uma atualização falsa do software, que é usada para instalação do malware.

• Seis dicas para não cair em golpes de phishing
• Cibersegurança | Especialista aponta tendências e previsões de ameaças para 2021
• Ghimob: o vírus brasileiro que está pronto para ser exportado para o mundo

O alerta foi feito pela Microsoft, que avisa para o que chamou de evolução técnica de um golpe que j;a vinha sendo aplicado desde 2019. Ele tem até nome, FakeUpdates, e nessa nova versão, está disseminando o ransomware WastedLocker com foco em usuários corporativos, que não somente tem seus dados criptografados como também roubados, com o resgate sendo pedido tanto para liberação quanto para que eles não sejam divulgados publicamente ou vendidos a terceiros.

Segundo a empresa, em pelo menos um caso de infecção registrado, os bandidos adquiriram anúncios relacionados à pesquisa pelo Teams em um grande motor de busca, o que levou um site fraudulento a aparecer com destaque, acima das próprias páginas oficiais. As propagandas também estariam sendo adquiridas em plataformas de grande alcance, sendo exibidas em sites de notícias e entretenimento renomados como uma forma de dar aparência de legitimidade ao golpe.

Códigos verificados e instalações secundárias também são utilizadas como forma de ocultar o malware dos olhares de administradores de rede e softwares de segurança enquanto, em muitos casos, a praga chega disfarçada como um instalador legítimo do Teams, baixado a partir dos sites fraudulentos. Uma vez executado, entretanto, ele não aplica atualização alguma, mas sim, começa a se espalhar pela rede e bloquear os arquivos.

Ao lado do WastedLocker, os hackers estariam usando uma solução chamada Predator the Thief, que rouba arquivos e também cookies do navegador, credenciais de acesso e dados financeiros registrados, como forma de aumentar o alcance do golpe. Além disso, segundo o alerta, outros malwares também estariam sendo distribuídos a partir das instalações fraudulentas, como backdoors para acesso remoto e pragas que registram o que é digitado ou captado por câmeras e microfones.

Em casos mais refinados, os criminosos também estariam utilizando aplicações que permitem o movimento lateral pela rede, buscando mais dispositivos vulneráveis para que pragas possam ser instaladas. Com isso, muitos ataques podem ainda estarem em fase de reconhecimento, com os hackers analisando as estruturas e encontrando alvos antes de, efetivamente, iniciarem um ataque, com a aplicação do ransomware, em si, muitas vezes sendo a última etapa desse processo.

O aviso da Microsoft não indica um responsável, mas fala em pelo menos seis campanhas em andamento, com níveis diferentes de eficácia e acesso, o que indicaria que todas estão sendo realizadas por um mesmo agente. A recomendação aos usuários corporativos é que tomem cuidado com anúncios e alertas de atualização do Teams, evitando clicar e fazer downloads a partir de sites fraudulentos, limitando isso apenas aos ambientes oficiais da própria companhia.

Além disso, aos administradores de redes, vale a pena adotar políticas de controle de acesso e reduzir o volume de contas e usuários com permissões completas ou abrangentes. Analisar tráfego e comunicações também pode ser um bom caminho para localizar intrusões, com executáveis suspeitos sendo bloqueados imediatamente em caso de suspeita, assim como códigos que permitam o download remoto e automático de soluções fora de uma lista de permissões.

Fonte: Bleeping Computer