Desta vez, a
ameaça utiliza de serviços legítimos com mensagens que intimidam vítima
Após aparente inatividade
do DRIDEX – malware de ameaça aos bancos online, durante o começo deste ano, a
Trend Micro – empresa
especializada na defesa de ameaças digitais e segurança na era da nuvem –
observou um aumento repentino em uma campanha de e-mails de spam que afetou
principalmente usuários nos Estados Unidos, Brasil, China, Alemanha e Japão.
Existem diferenças significativas
desta campanha em particular em relação às aplicadas anteriormente. Em vez das
habituais faturas ou notificações falsas usadas como isca, o DRIDEX brinca com
o medo das pessoas em terem suas contas comprometidas. Além da mudança nos
assuntos de e-mail e do uso macro, o golpe utiliza o Certutil, um programa da Microsoft que
configura serviços de certificado, faz backup e restaura componentes da
autoridade de certificação para passar a ameaça como um certificado legítimo.
Estes dois elementos combinados (uso de macros e do Certutil) podem aumentar a
prevalência de DRIDEX e representar desafios para a detecção.
Lucrando com o Medo
A Trend Micro analisou uma
mensagem de e-mail que tem como assunto, Conta
Comprometida e contém detalhes da suposta tentativa de acesso,
incluindo o endereço IP para fazer com que pareça legítimo. No entanto, uma
brecha foi encontrada. A mensagem não tem qualquer informação sobre que tipo de
conta (e-mail, banco, contas de mídia social, etc.) está comprometida.
Este tipo de notificação normalmente menciona o tipo de conta que um
usuário remoto tenta acessar.
Os cibercriminosos talvez,
estejam apostando em táticas de intimidação para fazer com que as pessoas abram
o arquivo ZIP em anexo, que supostamente tem o relatório completo. Se a vítima
for levada a abrir o documento, verá um arquivo em branco instruindo-o a
habilitar as funções macro. Isto, é claro, vai iniciar a cadeia de infecção do
DRIDEX no sistema.
Com base na pesquisa elaborada
pela Trend Micro, o spam executado com o DRIDEX é semelhante ao Locky ransomware com o uso de macros e
templates de e-mail idênticos.
Potencializando o Certutil
Em relação aos spams ligados aos
ransomwares, é engano imaginar que o DRIDEX perdeu a sua visibilidade no
cenário de ameaças. Com as suas novas táticas, como o uso de Certutil e de
arquivos Personal Information Exchange (.PFX), um tipo de arquivo usado pelos
softwares de certificados que armazena chaves públicas e privadas, o DRIDEX
pode recuperar o seu lugar novamente como a principal ameaça de banking online.
Uma vez que o arquivo é baixado
no formato PFX, isso evita a detecção do DRIDEX e o uso de macros permite que
ocorrências similares passem desapercebidas pelas tecnologias de sandbox. Isto
é uma indicação clara de que o DRIDEX está se nivelando para permanecer como a
ameaça prevalente de online banking.
O que os usuários e as
organizações podem fazer?
Apesar da prevalência da ameaça,
os usuários e organizações podem tomar algumas medidas preventivas simples,
como não abrir anexos e não habilitar macros quando receber e-mails de fontes
desconhecidas. A Trend Micro aconselha que quando o indivíduo receba
e-mails sobre contas comprometidas, primeiro confira e verifique a fonte.
As empresas podem também criar
políticas que bloqueie e-mail com anexos de fontes desconhecidas. Também
é recomendado que organizações eduquem seus funcionários sobre este tipo de
ameaça. As soluções de endpoint da Trend Micro, como o Trend Micro™ Security, Smart Protection Suitese o Worry-Free™ Business Security podem proteger os
usuários e as SMBs contra esta ameaça por meio da detecção de arquivos
maliciosos e mensagens de e-mails com spam, bem como bloqueio de todas as URLs
maliciosas relacionadas.
O Trend Micro Deep Discovery que tem uma
camada de inspeção e-mail, pode proteger as empresas, detectando anexos e URLs
maliciosas. Como tal, ele pode evitar que os sistemas sejam infectados com
DRIDEX.
