De acordo com relatório de spam e phishing no primeiro trimestre de 2017, a Necurs, a maior rede de bots de spam do mundo, demonstrou um drástico declínio em seu tráfego de e-mails fraudulentos, de mais de 35 milhões de e-mails fraudulentos em dezembro de 2016 a quase 7.000 em março de 2017. Além disso, a empresa detectou cibercriminosos tentando usar canais alternativos, a fim de ignorar os filtros de spam.
O relatório também identificou as seguintes tendências no primeiro trimestre de 2017:
- A parcela global de spam correspondeu, em média, a quase 56% do tráfego de e-mail do primeiro trimestre, em comparação com 59,9% no quarto trimestre de 2016
- O número total de anexos de malware no tráfego de e-mail diminuiu 2,4 vezes em relação ao trimestre anterior
- Mais da metade de todos os ataques de phishing foram direcionados ao setor financeiro, incluindo bancos (quase 26%), sistemas de pagamento (mais de 13%) e lojas virtuais (quase 11%).
- O Brasil está entre os 10 principais países fontes de spam e entre os 10 principais países alvo de e-mail mal-intencionado; o País também ocupa a 2ª posição dos 10 melhores países por porcentagem de usuários atacados.
A decadência da botnet Necurs
Em 2016, os pesquisadores da Kaspersky Lab identificaram um grande crescimento dos spams com anexos maliciosos, especialmente malwares de criptografia. A maior parte desse tráfego veio da botnet Necurs, atualmente considerada a maior botnet de spam do mundo. No entanto, no final de dezembro de 2016, essa rede praticamente parou e não apenas para os feriados de fim de ano. Os spams da botnet ficaram em um nível muito baixo quase durante todo o primeiro trimestre de 2017.
Aparentemente, os criminosos ficaram intimidados com o grande alarde em torno dos malwares de criptografia e decidiram suspender os envios de e-mail em massa. Contudo, é pouco provável que essa decisão resulte na extinção desse vetor de ataque.
E-mails maliciosos com arquivos protegidos por senha
No primeiro trimestre de 2017, os remetentes de spam tentaram diversas técnicas antidetecção. Entre outras, os criminosos virtuais compactaram o malware em arquivos protegidos por senha. Ao receber o e-mail, o usuário era instigado a abrir o arquivo comprimido da maneira usual. Os e-mails vinham disfarçados de notificações de pedidos em grandes lojas, transações diversas e CVs, ou prometiam grandes somas em dinheiro. Frequentemente, eram enviados em nome de pequenas e médias empresas reais, com assinaturas e contatos que comprovavam a confiabilidade do remetente.
Quando a vítima abria os documentos, um script malicioso era ativado e baixava malware no computador. A carga do malware era diversificada, podendo incluir ransomware, spyware, backdoors ou uma nova modificação do famoso cavalo de Troia Zeus.
Spam enviado por meio de serviços legais
Os filtros de spam modernos são detectam spams enviados em e-mails de maneira eficiente. Isso estimula os remetentes de spam a procurar novos canais para contornar esses obstáculos. Cada vez mais, eles focam programas de mensagens instantâneas e redes sociais para disseminar suas ofertas publicitárias e fraudulentas.
Normalmente, as mensagens privadas estão associadas a notificações por e-mail para o destinatário. Nesse caso, o cabeçalho da mensagem será considerado legítimo, ao contrário dos spams tradicionais. Isso significa que a única maneira de detectar o spam será analisando o conteúdo da mensagem. Essa é uma tarefa muito mais difícil, especialmente se considerarmos a fonte legal das informações e se o endereço do serviço estiver na lista de e-mails confiáveis do destinatário.
“No início de 2017, observamos diversas mudanças nos fluxos de spam, incluindo uma queda acentuada no número de mensagens maliciosas enviadas em massa pela maior botnet de spam do mundo. Nesse contexto, os agentes de ameaças de spam estão ganhando terreno em truques e técnicas para evitar a detecção, capturando plataformas legais de comunicação e anexos protegidos por senha. Provavelmente, essa tendência vai persistir, pois as vítimas consideram confiáveis os documentos protegidos por senha. Além disso, as soluções de segurança de TI não conseguem verificar esses documentos”, explicou Darya Gudkova, especialista em análise de spam da Kaspersky Lab.