Um novo relatório da Cisco Talos alertou sobre uma campanha de spam contra usuários brasileiros direcionada principalmente a executivos em cargos C-level, contas de finanças e de Recursos Humanos de diversos setores. Segundo a pesquisa, o objetivo é instalar ferramentas comerciais de monitoramento e gerenciamento remoto (RMM) por meio de mensagens que se passam por instituições financeiras ou operadoras de telefonia celular.
De acordo com os especialistas, a existência dessa ação começou a ser percebida em janeiro deste ano. Ao enganar esse público, os cibercriminosos simulam faturas vencidas ou recibos eletrônicos de pagamento emitidos como NF-e como iscas nas mensagens para conseguirem essa infecção inicial. Dessa forma, as pessoas são induzidas a acessar links maliciosos hospedados no Dropbox.
O relatório da Cisco revelou tanto as mensagens que simulam a Nota Fiscal Eletrônica quanto a dos boletos vencidos levam a um arquivo no Dropbox. Nessa nuvem, existe o instalador binário malicioso da ferramenta RMM. Além disso, a análise apontou no relatório que algumas instituições educacionais e governamentais também foram alvo dos cibercriminosos. Para se chegar a essa avaliação, os especialistas se basearam nos destinatários mais comuns encontrados nas mensagens monitoradas durante esse período de campanha.
Objetivo da campanha de spam
Outro ponto explicado foi o objetivo das ações maliciosas, que é fazer as vítimas instalarem um RMM. Isso permite ao agente de ameaça assumir o controle total do computador. A Cisco Talos apontou que o N-able RMM Remote Acess é a ferramenta mais comum distribuída nesta campanha, desenvolvida pela N-able.
E o estudo informou que a N-able já tem ciência dessa utilização e tomou medidas para desativar as contas de teste afetadas. Outra ferramenta usada em alguns casos é o PDQ Connect, um aplicativo RMM semelhante. Em ambos os casos, são oferecidos 15 dias de teste gratuito.
Ao verificar as amostras com mais de 15 dias, os especialistas avaliaram se esses atores utilizavam uma versão de teste ao invés de credenciais roubadas para criar as contas. Os especialistas confirmaram que todas elas estavam desativadas. Por outro lado, as mais recentes encontradas nos últimos 15 dias estavam todas ativas.
