Ataque de Spear-Phishing tem como alvo CTOs em empresas de tecnologia

Uma nova campanha de phishing direcionada foi identificada por pesquisadores de segurança como tendo como alvo profissionais de segurança de alto nível em empresas de tecnologia como CTOs.

Spear-Phishing e CTOsÀ medida que o prazo para apresentação de declarações fiscais nos Estados Unidos se aproxima (estabelecido para 15 de abril), não é surpresa que os cibercriminosos tenham escolhido trazer as vítimas para o download de software malicioso.

Pesquisadores da Talos, equipe de pesquisa e segurança da Cisco, observaram na terça-feira o desenvolvimento da campanha maliciosa, que entregava e-mails com problemas relacionados a diferentes detalhes de pagamento e impostos federais.

As mensagens continham um anexo mal-intencionado que aparece como um documento do Word com uma macro (script usado para automatizar tarefas repetitivas) e tem instruções para baixar usuários de conta-gotas de malware que abandonam o banco de Trojan Vawtrak.

Segundo os pesquisadores, tanto as mensagens quanto o arquivo malicioso do Word são atualizados constantemente, à medida que diferentes versões eram gravadas na quarta-feira.

Na primeira onda do ataque, o endereço do remetente foi forjado para ser mostrado por [email protected] ou [email protected], informando que o pagamento do imposto foi aceito. A versão mais recente continha diferentes endereços de entrega e informou que os detalhes do imposto não foram recebidos.

A mensagem também incluía informações sobre uma grande quantia em dinheiro, possivelmente na tentativa de motivar o destinatário a abrir o documento malicioso. Ambas as amostras indicaram que o recibo estaria disponível imprimindo o arquivo anexado.

Dependendo do campo de atividade de uma empresa, os profissionais de tecnologia, CTOs (Chief Technology Officers) em particular, estão bem cientes dos riscos e é surpreendente que eles tenham sido direcionados na atual campanha de phishing.

Os pesquisadores analisaram a versão do Vawtrak que foi distribuída dessa maneira e determinaram que ele tem a capacidade de registrar credenciais de usuário para mais de 100 serviços on-line, a maioria pertencendo a instituições financeiras. No entanto, “a lista não inclui determinadas operadoras de telefonia móvel e outros sites de varejo on-line”.

Um aumento na distribuição de Vawtrak foi observado recentemente. Os pesquisadores de segurança da Trend Micro identificaram recentemente uma campanha de phishing diferente que distribui esse malware por meio de macros nos documentos do Word.