Os hackers usavam redes sociais para identificar as pessoas dentro das empresas responsáveis por transações financeiras. Então eles ligavam para as vítimas e pediam a atualização no módulo de segurança do banco, sem a qual o acesso à conta seria bloqueado.
As vítimas instalavam uma extensão do Chrome chamada Interface Online (veja abaixo), da Internet Security Online.
Renato Marinho, diretor de pesquisa da Morphus Labs e membro do SANS Internet Storm Center, divulgou o golpe. Ele disse que os hackers estão concentrados em apenas alguns alvos corporativos e o malware tem relativamente poucas detecções no VirusTotal.
Fabio Assolini, analista sênior de malware da Kaspersky no Brasil, disse que o ataque foi encontrado em 8 de agosto e os servidores de comando e controle foram identificados e bloqueados pelos produtos da empresa. Mas o servidor C2 ainda está funcionando, afirma Marinho. Ele confirmou que este não era um ataque generalizado e que outros atacantes usaram extensões maliciosas em outros ataques no Brasil, incluindo alguns que visam boletos.
O telefonema tinha instruções sobre como atualizar o suposto módulo de segurança. A vítima devia acessar um endereço web e, ao clicar em “Instalar”, era redirecionada para a página da extensão na Chrome Store. O código malicioso capturava os dados inseridos na página do banco.
“Ouvi uma dessas chamadas e devo admitir que elas são feitas de forma profissional”, disse Marinho ao Threatpost. “Eles colecionaram informações públicas (Google e redes sociais) sobre o alvo para usar durante a chamada, se necessário. Seu discurso segue o estilo padrão do call center e parece que estão falando do call center real devido ao ruído de fundo. Eu acredito que esta mistura maximiza suas taxas de sucesso “.
“Na minha opinião, os criminosos estão passando do tradicional [spam malicioso] para métodos de ataque direcionados e criativos aqui no Brasil”, disse. “Está ficando comum ter vítimas informando que estão recebendo chamadas telefônicas de alguém que finge ser de um banco e falando para fazer algo, como instalar um módulo de segurança falso, neste caso, ou pedir que digitem credenciais de token em um site falso”.
Nenhum comentário:
Postar um comentário