A Avast relatou que em fevereiro, pouco antes da Rússia invadir a Ucrânia, um número crescente de ataques de phishing foi observado no ciberespaço ucraniano. Os ataques observados visavam um fabricante de hardware de infraestrutura de rede, um administrador de domínio, bem como serviços e instituições de diferentes setores, como de envio, hospedagem na web, plataformas para recrutadores e vendedores.
RATs (Ferramentas de Acesso Remoto) e malware para roubo de senha – como AgentTesla ou FormBook -, foram incluídos como anexos em e-mails de phishing que foram disseminados com assuntos relacionados a pagamentos e faturas. Esses ataques podem ter sido projetados para afetar a infraestrutura de internet do país, podem estar relacionados ou servidos para complementar os ataques DDoS realizados contra o Departamento de Defesa e Bancos da Ucrânia, pouco antes da Rússia invadir o país.
A Avast determinou o valor médio do número de ataques de phishing por dia, antes do início da guerra na Ucrânia. Dois picos significativos podem ser observados em 16 de fevereiro e de 21 a 23 de fevereiro.
As cidades mais afetadas pelos ataques foram Kiev (36%), Odessa (29%), Lviv (6%), Mariupol (5%).
Por sua vez, os assunto dos e-mails de phishing foram direcionadas principalmente para os departamentos de contabilidade e incluem:
• Pagamento SWIFT
• Pagamento de faturas: MT103_Swift Copy
• Transferência bancária para a conta da sua empresa
• Assunto: pedido de compra
Re: Confirmação de transferência
Além disso, os anexos de e-mail continham uma combinação de RATs e malware, visando roubo de senha, como AgentTesla ou FormBook.
Primeira onda de ataques digitais
A Avast detectou o primeiro pico significativo em 16 de fevereiro. O maior ataque identificado foi direcionado a um administrador de domínio ucraniano, ukrnames.com. Também provê registro de nome de domínio, hospedagem de site, registro de certificado SSL, entre outros.
A segunda onda de ataques identificados teve como alvo um fornecedor de hardware localizado em Lviv, que forneceu equipamentos para infraestruturas de rede (lanbox.com.ua).
Segundo dados da Avast, o site só foi atacado no dia 16 de fevereiro. A grande maioria dos ataques contra o ukrnames.com também ocorreu em 16 de fevereiro. Apenas alguns incidentes foram monitorados em 17, 18 e 21 de fevereiro. Ambos os ataques contra ukrnames.com e Lanbox parecem ter sido direcionados. A tabela, a seguir, mostra a proporção percentual de ataques direcionados:
Uma segunda onda de ataques
A segunda onda desses ataques digitais ocorreu de 21 a 23 de fevereiro. Essa onda consistiu em uma ampla gama de ataques contra serviços e instituições de diferentes áreas, como: de envio, hospedagem web, plataformas para recrutadores e vendedores. Nenhum ataque significativo contra um alvo específico foi identificado nesta onda.
Ataques via anexos em e-mail
Os assuntos de e-mails de phishing e o malware incluído nos anexos ajudaram a identificar arquivos específicos, que foram usados em ataques de phishing baseados no sistema trampa de email da Avast.
Os tipos mais comuns de anexos suspeitos são os arquivos .pdf e .docx. Esses documentos do Microsoft Word normalmente contêm uma imagem, a qual se parece com uma janela pop-up com uma mensagem, solicitando aos usuários que habilitem o conteúdo dos documentos, gerando uma série de cargas maliciosas.
No caso de e-mails .docx, eles contêm apenas uma imagem com uma mensagem e um código macro malicioso oculto, ou seja, se o usuário clicar em “habilitar edição”, um payload é iniciado e geralmente começa a baixar malwares, que podem assumir o controle do computador da vítima.
O segundo tipo de arquivo é o .pdf, que contém uma imagem prometendo um desconto em combustível, caso o usuário clique sobre ela. Na realidade, o usuário é redirecionado para um site suspeito, com conteúdo malicioso.
É claro que as empresas ucranianas não foram poupadas de ataques de phishing, com os invasores mirando em infraestruturas de comunicação locais, provedores de redes e outros serviços.
Para se proteger contra tais ataques, a Avast aconselha os usuários a não abrirem ou habilitarem anexos desconhecidos e suspeitos. Dados recentes sugerem que os ataques de phishing contra ucranianos diminuíram, o que provavelmente se deve aos combates contínuos e às pessoas que passam menos tempo online. A Avast continuará monitorando as atividades de phishing na região.
