Guerra na Ucrânia segue como isca para ataques contra empresas e governos

Mesmo com a redução na cobertura da imprensa e do tom de revolta das redes sociais, a guerra entre Rússia e Ucrânia segue como isca importante para diferentes grupos criminosos. Uma atualização do Google sobre esse tipo de atividade, inclusive, mostra que os governos dos dois lados desse conflito são alvo de golpes de phishing e tentativas de ataque, assim como empresas e usuários comuns.

• Como identificar se um site é uma tentativa de phishing?
• Como evitar que o e-mail corporativo seja usado para disseminar spam e vírus?

A maior parte das atividades relatadas têm a Rússia ou países aliados como origem. Uma campanha associada ao bando cibercriminoso Turla, ligado às agências de inteligência do país, tem como alvo empresas de setores militares e de cibersegurança, que recebem e-mails fraudulentos com links para supostos documentos do pacote Office. No acesso, porém, há a tentativa de download de malware para roubo de credenciais.

Oficiais do governo, executivos, ONGs, jornalistas e organizações em prol dos direitos humanos são os focos da Coldriver, outra quadrilha russa que vem realizando ataques há anos. De olho em credenciais de acesso a contas do Google, as mensagens fraudulentas trazem malwares hospedados em serviços legítimos, como Google Drive e OneDrive, assim como links para domínios fraudulentos que já foram bloqueados no Chrome, como forma de proteger os usuários.

Método semelhante é usado pelo Fancy Bear, grupo cibercriminoso que é velho conhecido de quem acompanha o cenário de ameaças de origem russa. Aqui, o vetor são arquivos ZIP com supostos documentos ou registros de transações corporativas, que abrem as portas para um executável focado no roubo de cookies e credenciais salvas em browsers como Edge, Firefox e Chrome.

O Grupo de Análise de Ameaças (TAG, na sigla em inglês) do Google também alerta para as atividades do Ghostwriter, um grupo cibercriminoso de origem bielorrussa que também está de olho em credenciais. Os alvos são indivíduos de destaque no cenário do conflito entre Rússia e Ucrânia, como ativistas, políticos e membros do governo, que recebem um falso alerta de segurança em nome da própria gigante, que na realidade, serve como isca para roubar credenciais de acesso.

De acordo com a empresa, campanhas desse tipo já haviam sido registradas em abril, com foco em senhas do Facebook. Desta vez, porém, a comunicação e o site fraudulento foram detectados e desmantelados de forma rápida, sem que nenhuma vítima fosse registrada.

No sentido oposto, o TAG aponta ainda para as ações de um grupo chamado Curious George, que estaria ligado ao governo chinês. Aqui, os disparos são feitos para todos os lados, com empresas e governos da Ucrânia, Rússia e também Mongólia e Cazaquistão, usando falhas de segurança e e-mails de phishing como vetores de entrada.

Os focos seriam empresas de logística e indústria, assim como agências governamentais e militares. Golpes bem-sucedidos, inclusive, teriam sido registrados contra companhias terceirizadas do setor de defesa da Rússia, assim como uma empresa de manufatura que também possui contratos com o governo de Vladimir Putin.

Segundo o Google, todos os sites fraudulentos foram marcados como perigosos, com um alerta que deve ser visto pelos usuários do Chrome no computador e celular. Enquanto isso, no Gmail, as mensagens de phishing também serão indicadas como tal, bloqueadas antes mesmo que cheguem às caixas dos usuários ou alvos determinados pelos criminosos.

Fonte: Google TAG