Foi detectada uma campanha de spam incomum baseada no Agent Tesla, um malware que dá acesso remoto aos cibercriminosos para roubo de dados, senhas e outras credenciais e afeta empresas em todo o mundo. Somente entre maio e agosto deste ano foram registradas 8.851 atividades deste malware no Brasil. O México registrou o maior número de vítimas (20.941), seguido pela Espanha (18.090) e Alemanha (14.880).
Como funciona
O que chamou a atenção dos especialistas é que o Agent Tesla, popularmente conhecido por ser utilizado em ataques em massa, dessa vez foi utilizado com técnicas típicas de ataques direcionados, explorando a confiança digital das vítimas.
Os cibercriminosos imitaram os e-mails de fornecedores e parceiros das empresas para roubar os dados de login de usuários por meio do Agent Tesla. As credenciais roubadas podem ser comercializadas em fóruns da darkweb ou utilizadas em ataques direcionados às empresas violadas. Segundo Paolo Passeri, diretor de Inteligência Cibernética da Netskope, esta campanha é mais um exemplo de como os cibercriminosos estão constantemente buscando novas maneiras de monetizar contas comprometidas.
Além disso, há algo mais que chama a atenção. “Um dos pontos fracos das campanhas globais de spam massivo é caracterizado por erros gramaticais em inglês e nesse caso as empresas se passaram por parceiros ou fornecedores de países que não têm o idioma como língua nativa, legitimando indiretamente o conteúdo”, explica Paolo.
Como se proteger
A consciência de risco deve ser prioridade na agenda dos líderes, para que as equipes tenham acesso ao treinamento básico de segurança cibernética. Também é essencial que as empresas realizem simulações de ataques de phishing para garantir que as equipes saibam identificar essas fraudes.
Uma solução de proteção de endpoint e servidor de e-mail com opções anti-phishing também são fundamentais para reconhecer essas atividades maliciosas. Além disso, existem sistemas dedicados anti-spam e anti-phishing na nuvem, capazes de defender aplicações como SharePoint, Teams e OneDrive para proteger as comunicações corporativas.
“Em teoria, as vítimas poderiam ter detectado a natureza suspeita dos e-mails verificando o endereço de origem desses e-mails, sem relação com a marca do parceiro ou fornecedor”, conclui Passeri. Mas, segundo o especialista, essa é uma verificação apenas dos usuários mais atentos, já que a maior parte das interações com colegas, fornecedores e parceiros ocorre principalmente no mundo digital e consequentemente eles não estão mais acostumados a prestar muita atenção aos detalhes, confiando muito mais do que deveriam nestas relações.
