O Brasil é alvo de uma campanha criminosa que usa o envio de CAPTCHAs falsos para induzir vítimas a baixarem malwares e outros arquivos maliciosos que, uma vez instalados nas máquinas, passam a ter acesso a todas as suas pastas, com endereços de e-mail e credenciais. É o que revela um boletim da ISH Tecnologia.
Os CAPTCHAs são um tipo de medida de segurança que serve para distinguir seres humanos de robôs e outras aplicações digitais. Ele utiliza a autenticação por desafio e resposta – como nos exemplos em que um site pede para o usuário clicar em determinado local para confirmar que é um humano. Nesse caso, a execução do CAPTCHA falso engana os usuários e os leva a executar scripts maliciosos que escapam da detecção, resultando na instalação do malware.
De acordo com o levantamento da ISH, os métodos de operação dos criminosos exploram comportamentos comuns dos usuários, como o download de softwares maliciosos e a resposta a e-mails de phishing para distribuir artefatos como o Lumma Stealer, que é o mais comum na campanha detectada.
A ISH identificou a hospedagem de diversas páginas e domínios voltadas às atividades maliciosas, frequentemente com arquivos HTML, que devem ser evitados pelos usuários: https[:]//idproof.b-cdn[.]net/recaptcha-nov5.html; verify-check.html; captcha-check.html; recaptcha-nov5.html; recaptcha-nov1.html; e recaptcha-nov2.html
Os exemplos mostram um tipo de CAPTCHA falso, e a tela a qual o usuário é redirecionado após executá-lo. Caso ele realize o que está indicado, um comando é automaticamente copiado para a área de transferência de sua máquina, e começa a propagação do ataque, realizando o download de arquivos maliciosos por ferramentas nativas do Sistema Operacional. Nesta campanha, foi identificado a utilização de malwares do tipo Stealer, os quais possuem o foco de realizar o roubo de dados e informações dos dispositivos da vítima.
Uma vez baixado, o malware passa a ter a capacidade de acessar todas as pastas do sistema operacional, o que inclui navegadores utilizados pela vítima, e-mails enviados e recebidos, pastas pessoais, entre outros. Após a coleta das informações que os criminosos julgam interessantes, o malware realiza o envio dos materiais para um domínio de um terceiro, que armazena tudo o que foi roubado.
O relatório da ISH também apontou que o software baixado traz componentes maliciosos adicionais, o que dificulta sua detecção e remoção. Embora atualmente essa técnica seja usada para distribuir, principalmente, o stealer conhecido como Lumma, ela pode facilmente ser adaptada para propagar outros tipos de ameaça.
Recomendações
Ataques como o descrito requerem a participação ativa da vítima, seja clicando no link falso ou executando, mesmo que sem a intenção, um código malicioso em sua máquina. Por conta disso, a ISH Tecnologia traz algumas dicas de proteção que devem ser seguidas por usuários e empresas:
Treinamentos frequentes para os usuários, focando na conscientização sobre phishing e técnicas de engenharia social; limitação dos privilégios dos usuários e segmentação da rede para minimizar o impacto de uma possível infecção; monitorar e bloquear domínios suspeitos, como o b-cdn.net, além de outros que tenham histórico de uso em campanhas maliciosas; monitoramento contínuo do tráfego de rede e análise de logs para identificar comportamentos suspeitos, como acessos repetidos a páginas de CAPTCHA ou execuções de scripts incomuns; atualização contínua dos IoCs, como domínios, IPs e URLs associados ao malware Lumma Stealer e outras ameaças relacionadas.
