Os cibercriminosos estão aproveitando a crise do COVID-19 para lucrar com a situação. Recentemente, a Equipe de Inteligência de Ameaças da Avast descobriu cibercriminosos ajustando suas campanhas de malvertising para adaptar os seus anúncios maliciosos, tornando-os relevantes com relação à crise do COVID-19. Essas pessoas mal intencionadas compram espaços em uma rede de anúncios para exibir malvertising (anúncios maliciosos), em sites. Agora, os cibercriminosos estão usando nomes de sites que parecem hospedar informações relacionadas ao coronavírus e, portanto, dando às operadoras de rede de publicidade a impressão de que não são informações maliciosas.
Essa campanha de publicidade mal intencionada em particular hospeda um kit de exploração chamado Fallout, que tenta explorar as vulnerabilidades nas versões mais antigas do Internet Explorer, sem uma ação do usuário ou conhecimento de que algo está acontecendo, para instalar o Kpot v2.0, um ladrão de informações e senhas.
O kit de exploração Fallout existe desde 2018 e, na maior parte, tem como alvo usuários japoneses e sul-coreanos. Em 26 de março de 2020, as pessoas mal-intencionadas por trás da campanha registraram o domínio covid19onlineinfo[.]com e, desde então, alternaram os domínios nos quais o kit de exploração está hospedado, registrando cerca de seis domínios por dia, na tentativa de evitar detecções de antivírus.
O malvertising geralmente é hospedado em sites de streaming e aberto automaticamente em uma nova guia, quando o usuário clica no botão de reprodução para visualizar um vídeo. Quando um usuário com o Fallout EK visita um site que hospeda o malvertising e atende aos critérios de uso de uma versão desatualizada do Internet Explorer, o kit de exploração tenta obter acesso ao computador da vítima. Ele tenta explorar uma vulnerabilidade no Adobe Flash Player (CVE-2018-15982, correção lançada em janeiro de 2019), que pode levar à execução arbitrária do código e uma vulnerabilidade de execução remota no mecanismo VBScript que afeta várias versões do Windows (CVE-2018-8174, correção lançada em maio de 2018). Isso pode causar uma falha no Internet Explorer, que é o único sinal de alerta que o usuário pode perceber.
Anteriormente, o kit de exploração infectou computadores com diversos ladrões de senhas e de informações sigilosas, e trojans bancários. Agora, ladrões de senhas e de informações sigilosas Kpot v2.0 estão sendo distribuídos. Ele tenta roubar dados básicos, como nome do computador, nome de usuário, endereço IP do Windows, software instalado no dispositivo, GUID da máquina e muito mais, enviando essas informações para um servidor de comando e controle.
Dessa forma, o malware passa a roubar senhas e outros arquivos. De acordo com os pesquisadores da Proofpoint, que analisaram o malware Kpot, os seguintes comandos podem ser enviados pelo servidor de comando e controle ao malware:
- Roubar cookies, senhas e dados de preenchimento automático do Chrome
- Roubar cookies, senhas e dados de preenchimento automático do Firefox
- Roubar cookies do Internet Explorer
- Roubar vários arquivos de criptomoeda
- Roubar contas do Skype
- Roubar contas do Telegram
- Roubar contas do Discord
- Roubar contas Battle.net
- Roubar senhas do Internet Explorer
- Roubar contas do Steam
- Tirar uma captura da tela
- Roubar várias contas de clientes FTP
- Roubar várias credenciais do Windows
- Roubar várias contas de clientes Jabber
- Auto remoção
Em 14 de abril de 2020, a Avast impediu 178.814 tentativas de ataques, visando 96.278 usuários em todo o mundo. Abaixo estão os principais países afetados.
Jan Vojtěšek, analista de malware da Avast, compartilha algumas recomendações para que o usuário se mantenha seguro contra essas ameaças digitais:
- Os usuários devem ter um software antivírus instalado, que funcionará como uma rede de segurança, detectando e impedindo ataques maliciosos como este.
- Mantenha sempre o software, os navegadores e os sistemas operacionais atualizados. As atualizações são importantes, pois não apenas oferecem novos recursos, mas podem incluir patches de segurança para corrigir vulnerabilidades que poderiam ser abusadas.
- Desative o Flash, a menos que você saiba que precisa. O Flash não é mais usado em muitos sites, mas os cibercriminosos continuam abusando das suas vulnerabilidades.
- Ative o novo recurso de proteção de senha da Avast, que pode ser encontrado na seção de privacidade do Avast Premium. O Avast Password Protection alerta o usuário se um programa está tentando acessar senhas salvas no Chrome ou Firefox.