Notícias sobre a epidemia do vírus Ebola no oeste da África estão sendo veiculadas na imprensa mundial e os cibercriminosos estão mais uma vez usando as manchetes mais recentes para atrair vítimas. A Symantec observou três operações de malware e uma campanha de phishing utilizando o vírus Ebola como tema para a engenharia social.
Malware e campanhas de phishing
A primeira campanha é bastante simples. Os atacantes enviam um e-mail com um relatório falso sobre o vírus Ebola para atrair as vítimas e, na verdade, os usuários recebem uma infecção com o malware Trojan.Zbot.
Já na segunda campanha, os cibercriminosos enviam um e-mail que se passa por uma grande operadora de serviços de telecomunicações e alega oferecer uma apresentação de alto nível sobre o vírus Ebola. Um arquivo zip anexado com um título como “EBOLA – APRESENTAÇÃO.pdf.zip” na verdade executa o Trojan.Blueso no computador da vítima.
Figura 1. Campanha por e-mail sobre Ebola, usando o Trojan.Blueso
É interessante notar que o Trojan executado não é o payload final. O malware é feito para também injetar o W32.Spyrat no navegador de internet da vítima, que permite aos atacantes executar as seguintes ações:
- Registrar toques no teclado
- Fazer gravações a partir da webcam
- Capturar imagens de tela
- Criar processos
- Abrir páginas web
- Enumerar arquivos e pastas
- Apagar arquivos e pastas
- Efetuar download e upload de arquivos
- Reunir detalhes sobre aplicações instaladas, o computador, e o sistema operacional
- Desinstalar-se
A terceira campanha, por sua vez, pega carona em algumas novas notícias sobre o Ebola. Nas últimas duas semanas, falou-se do Zmapp, uma droga promissora contra a doença, ainda em fase de testes. Os golpistas atraem as vítimas com um e-mail que alega que o vírus Ebola foi curado e que as novidades deveriam ser amplamente compartilhadas. Entretanto, o anexo do e-mail é o malware Backdoor.Breut.
Figura 2. E-mail malicioso atrai usuários com falsa cura do Ebola
Há, também, uma campanha de phishing que se faz passar pela CNN com as últimas notícias sobre o Ebola (incluindo algumas sobre terrorismo). Ela traz um breve resumo, que inclui links para a “história não divulgada”. O e-mail também promete trazer informações sobre precauções e uma lista de regiões “alvo”.
Figura 3. Campanha de phishing usa a marca da CNN como isca
Porém, ao clicar nos links do e-mail, o usuário é enviado para uma página na Internet onde deve selecionar um provedor de e-mail e inserir suas credenciais de login. Caso isso seja feito, as credenciais de login serão enviadas diretamente aos phishers. A vítima é, então, redirecionada para a home page real da CNN.
Figura 4. Phishers roubam detalhes de login com página falsa
A Symantec aconselha todos os usuários a ficarem vigilantes contra e-mails não solicitados, inesperados ou suspeitos. Se não tiver certeza da legitimidade do e-mail, não responda a ele e evite clicar nos links da mensagem ou abrir anexos.
Os clientes Symantec que usam o serviço Symantec.Cloud estão protegidos contra mensagens de spam utilizadas para entregar malware. Para obter a melhor proteção possível, eles também devem assegurar-se de utilizar as mais recentes tecnologias Symantec incorporadas em nossas soluções para consumidores e empresas.