São Paulo — InkDesign News — Um alerta global sobre uma nova campanha de phishing foi emitido pela FortiGuard Labs, que visa usuários do Microsoft Windows e entrega o malware UpCrypter, concedendo aos hackers controle total sobre os sistemas infectados.
Incidente e vulnerabilidade
A pesquisa da FortiGuard Labs sinaliza uma campanha de phishing que se originou de e-mails falsos disfarçados como notificações de “Chamadas Não Retornadas” ou “Ordens de Compra”. Esses e-mails contêm anexos HTML maliciosos, como “VN0001210000200.html” ou “採購訂單.html”, que, ao serem abertos, redirecionam as vítimas para sites fraudulentos. Tais páginas, muitas vezes replicando o domínio e logotipo da própria empresa da vítima, induzem os usuários a baixar arquivos maliciosos disfarçados. O ataque utiliza scripts em JavaScript que atuam como droppers do UpCrypter, uma ferramenta projetada para instalar malware adicional, incluindo Rat (Remote Access Tools).
Impacto e resposta
O impacto desta emergência de segurança é significativo, afetando diversas indústrias, como manufatura, saúde e tecnologia. A presença do UpCrypter foi observada em detecções que dobraram em duas semanas, elevando preocupações sobre a segurança em redes corporativas. De acordo com relatos, os RATs específicos aproveitados neste ataque incluem DCRat, PureHVNC e Babylon RAT, permitindo que os atacantes controlem remotamente as máquinas comprometidas. FortiGuard Labs recomenda uma vigilância intensa, com empresas tomando medidas para desconectar sistemas afetados.
“Fake voicemails and fake invoice phishing lures remain popular for attackers simply because they work,
(“Diversas isca de phishing envolvendo mensagens de voz falsas e faturas falsas permanecem populares entre os atacantes simplesmente porque funcionam.”)— John Bambenek, Presidente, Bambenek Consulting
Mitigações recomendadas
A empresa enfatiza a implementação de filtros de e-mail robustos, além de treinamentos para colaboradores sobre como identificar e evitar ataques de phishing. Para mitigar riscos, é vital realizar análises das cadeias de execução desde a abertura de anexos HTML, que podem levar ao uso indesejado do PowerShell. O gerenciamento de acessos e a restrição de poderes administrativos aos usuários têm papel central na prevenção de execuções não autorizadas.
“Looking for the chain of events of opening an HTML attachment in email that leads to PowerShell usage provides an easy and quick win to detection (and hopefully prevent) this chain of events.
(“Procurar a cadeia de eventos de abertura de um anexo HTML em e-mail que leva ao uso do PowerShell oferece uma vitória fácil e rápida para detecção (e, esperançosamente, preveni-la).”)— John Bambenek, Presidente, Bambenek Consulting
Os riscos residuais requerem atenção contínua. Organizações devem considerar a atualização de protocolos e a adoção de assimilação de inteligência cibernética para identificar ameaças emergentes e fortalecer sua postura cibernética.
Fonte: (Hack Read – Segurança Cibernética)
