Pesquisa aponta uso de CAPTCHAs falsos para roubar dados de brasileiros

ISH Tecnologia traz detalhes da campanha que, executada, dá acesso irrestrito às máquinas das vítimas

Compartilhar:

O Brasil é alvo de uma campanha criminosa que usa o envio de CAPTCHAs falsos para induzir vítimas a baixarem malwares e outros arquivos maliciosos que, uma vez instalados nas máquinas, passam a ter acesso a todas as suas pastas, com endereços de e-mail e credenciais. É o que revela um boletim da ISH Tecnologia.

 

Os CAPTCHAs são um tipo de medida de segurança que serve para distinguir seres humanos de robôs e outras aplicações digitais. Ele utiliza a autenticação por desafio e resposta – como nos exemplos em que um site pede para o usuário clicar em determinado local para confirmar que é um humano. Nesse caso, a execução do CAPTCHA falso engana os usuários e os leva a executar scripts maliciosos que escapam da detecção, resultando na instalação do malware.

 

De acordo com o levantamento da ISH, os métodos de operação dos criminosos exploram comportamentos comuns dos usuários, como o download de softwares maliciosos e a resposta a e-mails de phishing para distribuir artefatos como o Lumma Stealer, que é o mais comum na campanha detectada.

 

A ISH identificou a hospedagem de diversas páginas e domínios voltadas às atividades maliciosas, frequentemente com arquivos HTML, que devem ser evitados pelos usuários: https[:]//idproof.b-cdn[.]net/recaptcha-nov5.html; verify-check.html; captcha-check.html; recaptcha-nov5.html; recaptcha-nov1.html; e recaptcha-nov2.html

 

Os exemplos mostram um tipo de CAPTCHA falso, e a tela a qual o usuário é redirecionado após executá-lo. Caso ele realize o que está indicado, um comando é automaticamente copiado para a área de transferência de sua máquina, e começa a propagação do ataque, realizando o download de arquivos maliciosos por ferramentas nativas do Sistema Operacional. Nesta campanha, foi identificado a utilização de malwares do tipo Stealer, os quais possuem o foco de realizar o roubo de dados e informações dos dispositivos da vítima.

 

Uma vez baixado, o malware passa a ter a capacidade de acessar todas as pastas do sistema operacional, o que inclui navegadores utilizados pela vítima, e-mails enviados e recebidos, pastas pessoais, entre outros. Após a coleta das informações que os criminosos julgam interessantes, o malware realiza o envio dos materiais para um domínio de um terceiro, que armazena tudo o que foi roubado.

 

O relatório da ISH também apontou que o software baixado traz componentes maliciosos adicionais, o que dificulta sua detecção e remoção. Embora atualmente essa técnica seja usada para distribuir, principalmente, o stealer conhecido como Lumma, ela pode facilmente ser adaptada para propagar outros tipos de ameaça.

 

Recomendações

Ataques como o descrito requerem a participação ativa da vítima, seja clicando no link falso ou executando, mesmo que sem a intenção, um código malicioso em sua máquina. Por conta disso, a ISH Tecnologia traz algumas dicas de proteção que devem ser seguidas por usuários e empresas:

 

Treinamentos frequentes para os usuários, focando na conscientização sobre phishing e técnicas de engenharia social; limitação dos privilégios dos usuários e segmentação da rede para minimizar o impacto de uma possível infecção; monitorar e bloquear domínios suspeitos, como o b-cdn.net, além de outros que tenham histórico de uso em campanhas maliciosas; monitoramento contínuo do tráfego de rede e análise de logs para identificar comportamentos suspeitos, como acessos repetidos a páginas de CAPTCHA ou execuções de scripts incomuns; atualização contínua dos IoCs, como domínios, IPs e URLs associados ao malware Lumma Stealer e outras ameaças relacionadas.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

F5 adquire organização de segurança de IA empresarial por 180 milhões de dólares

Movimento pode evidenciar a crescente preocupação com a implementação de estratégias para a IA empresarial e a necessidade de novas...
Security Report | Overview

ANPD assina acordo com autoridade dos Emirados Árabes para proteção de dados

Segundo o organização, a iniciativa é uma tentativa de fortalecer a cooperação entre países para a proteção de dados pessoais,...
Security Report | Overview

Girona F.C. forma nova parceria de Cibersegurança em seus sistemas

O clube espanhol de futebol, Girona FC, adota a arquitetura de cibersegurança para proteger seus ambientes digitais
Security Report | Overview

Tentativas de fraudes online atingem quase 60% dos brasileiros, revela pesquisa

Pesquisa revela que mais da metade dos brasileiros caem em golpes; Compras online e Pix concentram a maior quantidade de...