Não é incomum você receber um e-mail informando que você caiu na malha fina da Receita Federal, ou você precisa cadastrar seu token de um banco do qual você não é cliente, este é um dos golpes que continua sendo muito utilizado pelos cybers criminosos aqui no Brasil.

Para você não ser mais uma vítima dessa ameaça vou explicar como funciona esse golpe com base e uma análise feita por grande fabricante de software de segurança.

Foi testado um E-mail informando sobre uma pendência financeira e o boleto para quitar essa pendência seguia anexado.

Geralmente quando você possui um bom anti-vírus e um firewall esse tipo de golpe tende a ser malsucedido, pois a ferramenta costuma a interceptar alguma rotina suspeita no arquivo fazendo com que o arquivo seja excluído ou colocado em quarentena para que você tome alguma ação, agora se você não tiver uma solução dessa muito provavelmente você estará mais exposto a cair no golpe.

O que essa analise mostrou, foi que ao executar o arquivo “PDF” em anexo e rodou em background um Script na qual começou scanear a máquina, após um certo momento esse script executou outro arquivo agora em Power Shell Para evitar qualquer tipo de inconveniência no momento da execução, este mesmo código malicioso droppea uma versão do PowerShell na máquina da vítima para conseguir ser executado. Vale ressaltar que o Power Shell não é um programa malicioso ele é uma ferramenta do Windows, e neste caso, é usada para realizar uma ação prejudicial.

Nesta parte da execução esse código se conecta um servidor para baixar um suposto arquivo TIFF, mas não se trata de uma imagem, o script lê byte a byte todo o arquivo e o reescreve para ser executado na máquina afetada. É uma versão de uma ferramenta de gerenciamento remoto, chamada Tight VNC, que, como o PowerShell, não é de natureza maliciosa, mas os criminosos podem usá-la para assumir o controle do dispositivo da vítima e assim poder extrair qualquer informação que for conveniente ao cyber criminoso.

Resumindo, mantenha seus equipamentos sempre atualizados com as atualizações da Microsoft e com uma boa solução de segurança. Evitar abrir qualquer arquivo que você desconfie da procedência. Manter arquivos sensíveis ao seu negócio em locais mais seguros.

Ao tomar essas ações você diminuirá e muito os riscos em cair em um golpe como esse.


Referências: We Live Security 


Autor(a): Luciano Marques, Gerente de Produtos na Acorp do Brasil.


Facebook | Linkedin | Twitter