Vírus finge ser TripAdvisor para sequestrar dados de usuários
Por Felipe Demartini • Editado por Wallace Moté |
Uma nova campanha de contaminações com ransomware está usando falsos e-mails do TripAdvisor como a isca para atacar usuários e seus negócios. As mensagens indicam a publicação de uma reclamação sobre um estabelecimento, normalmente restaurantes e hotéis, e acompanham um arquivo anexado, que traz o vírus responsável por sequestrar os dados dos dispositivos em troca de resgate.
- Microsoft foi marca mais imitada em golpes online até junho deste ano
- OBS, VLC, WinRAR e outros apps viram iscas em anúncios fraudulentos no Google
A onda de golpes vem circulando desde meados da última semana e não usam técnicas muito sofisticadas, mas confiam na curiosidade e nervosismo dos donos de negócios para ser eficaz. Em alguns casos, além da publicação da reclamação em si, também há menções a uma possível suspensão da conta usada pelo estabelecimento, como forma de induzir a possível vítima a abrir a mensagem sem pensar muito sobre a segurança.
A campanha descoberta pelo pesquisador Felix Weyne, da empresa de cibersegurança Sophos, utiliza técnicas conhecidas e chegou a ser atualizada posteriormente, ganhando elementos um pouco mais intrincados. No primeiro formato, os estabelecimentos recebiam e-mails com dados compactados em anexo — dentro, estava um executável do ransomware Knight, já conhecido da comunidade de proteção digital como uma variante do vírus Cyclop lançada em maio deste ano.
Já na segunda versão, que tenta ser um pouco mais sofisticada, a infecção acontece a partir de uma página HTML, disfarçada de documento PDF. Ao ser aberto, o golpe simula a abertura de uma nova janela no navegador e indica um botão para leitura da reclamação, que por sua vez, executa um arquivo do Excel comprometido, que abre as portas para a contaminação com o malware.
Não existe, claro, reclamação alguma e, após realizar o travamento das informações, é exibida uma nota de resgate, que inclui o pedido de pagamento de US$ 5 mil, ou aproximadamente R$ 25 mil, em Bitcoins. O arquivo também inclui um link para um site na dark web, que indica o e-mail para o qual as vítimas devem enviar comprovações de pagamento para receberem a ferramenta de liberação dos arquivos — não há possibilidade de negociação ou mudança nos valores, avisam os bandidos.
Ataques são simples, mas têm amplo alcance
Enquanto as técnicas usadas pelos bandidos responsáveis não são necessariamente sofisticadas, o mesmo não pode ser dito do vírus usados para atacar. Parte de uma campanha de ransomware como serviço, o Knight tem versões Windows, macOS e Linux, sendo capaz de atingir de computadores pessoais até servidores. Uma versão “Lite”, vendida por valores mais baixos, também está disponível, possibilitando ondas de ataques envolvendo a distribuição massiva de spam, como no caso relatado pela Sophos.
Os métodos, porém, levam a indicações diretas de perigo por parte dos sistemas operacionais. Arquivos em formato ZIP e, principalmente, EXE, são vistos como sinal alto de perigo por plataformas de segurança, com os e-mails fraudulentos podendo ser bloqueados antes mesmo de chegarem aos olhos dos usuários. O mesmo também vale para os documentos do Excel, com múltiplos avisos do Office sendo exibidos antes de a exploração funcionar.
Além disso, uma mesma carteira de criptomoedas é usada em todas as notas de resgate enviadas pela quadrilha responsável, o que impede que pagamentos específicos sejam identificados. Também não há registro de transferências para os endereços indicados, sinal de uma campanha mal-sucedida. Seja como for, a recomendação, neste e em todos os casos, é que as vítimas não enviem os valores, já que não há garantia nenhuma de que os bandidos cumprirão sua parte do trato, possibilitando a recuperação dos arquivos.
Prestar atenção em e-mails de phishing, principalmente aqueles com conteúdo alarmista, é o melhor caminho para a proteção digital. Desconfie de mensagens que não vierem de fontes conhecidas ou a partir de domínios legítimos de serviços online, jamais clicando em links, realizando cadastros ou baixando arquivos a partir destas fontes; os sites oficiais devem ser buscados para verificação de alertas ou outros tipos de comunicação com os usuários.
Fonte: Bleeping Computer