Brasil é o 2º mais atingido por SPAM com ameaça Dridex

Após aparente inatividade, Trend Micro observou aumento repentino de e-mails com malware que ameaçam bancos online; combinação de elementos representa desafios para detecção

Compartilhar:

Após aparente inatividade do DRIDEX – malware de ameaça aos bancos online, durante o começo deste ano, a Trend Micro observou um aumento repentino em uma campanha de e-mails de spam que afetou principalmente usuários nos Estados Unidos, Brasil, China, Alemanha e Japão.

Existem diferenças significativas desta campanha em particular em relação às aplicadas anteriormente. Em vez das habituais faturas ou notificações falsas usadas como isca, o DRIDEX brinca com o medo das pessoas em terem suas contas comprometidas.

Além da mudança nos assuntos de e-mail e do uso macro, o golpe utiliza o Certutil, um programa da Microsoft que configura serviços de certificado, faz backup e restaura componentes da autoridade de certificação para passar a ameaça como um certificado legítimo. Estes dois elementos combinados (uso de macros e do Certutil) podem aumentar a prevalência de DRIDEX e representar desafios para a detecção.

Lucrando com o medo

A Trend Micro analisou uma mensagem de e-mail que tem como assunto “Conta Comprometida” e contém detalhes da suposta tentativa de acesso, incluindo o endereço IP para fazer com que pareça legítimo. No entanto, uma brecha foi encontrada. A mensagem não tem qualquer informação sobre que tipo de conta (e-mail, banco, contas de mídia social, etc.) está comprometida. Este tipo de notificação normalmente menciona o tipo de conta que um usuário remoto tenta acessar.

Os cibercriminosos talvez, estejam apostando em táticas de intimidação para fazer com que as pessoas abram o arquivo ZIP em anexo, que supostamente tem o relatório completo. Se a vítima for levada a abrir o documento, verá um arquivo em branco instruindo-o a habilitar as funções macro. Isto, é claro, vai iniciar a cadeia de infecção do DRIDEX no sistema.

Com base na pesquisa elaborada pela Trend Micro, o spam executado com o DRIDEX é semelhante ao Locky ransomware com o uso de macros e templates de e-mail idênticos.

Potencializando o Certutil

Em relação aos spams ligados aos ransomwares, é engano imaginar que o DRIDEX perdeu a sua visibilidade no cenário de ameaças. Com as suas novas táticas, como o uso de Certutil e de arquivos Personal Information Exchange (.PFX), um tipo de arquivo usado pelos softwares de certificados que armazena chaves públicas e privadas, o DRIDEX pode recuperar o seu lugar novamente como a principal ameaça de banking online.

Uma vez que o arquivo é baixado no formato PFX, isso evita a detecção do DRIDEX e o uso de macros permite que ocorrências similares passem desapercebidas pelas tecnologias de sandbox. Isto é uma indicação clara de que o DRIDEX está se nivelando para permanecer como a ameaça prevalente de online banking.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

“O maior inimigo da Segurança é a conveniência”, diz presidente da Genetec

Na visão de Pierre Racz, controles desajustados de Cibersegurança e de Segurança Corporativa podem ser burlados se a fricção com...
Security Report | Destaques

Hackers do bem: esse profissional já conquistou espaço nos times de SI?

Diante do aumento e sofisticação de ataques cibernéticos, a demanda por especialistas que atuam para encontrar vulnerabilidades e auxiliar os...
Security Report | Destaques

Crise com software espião reabre discussões sobre Ciberespionagem no Brasil

Desde a última semana, as autoridades federais têm movido processos e ações de investigação com vistas a entender a extensão...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo o Esporte Clube Vitória, a Assembleia Legislativa de Roraima, os serviços...