Cibercriminosos estão atacando pequenas lojas online, tentando induzir seus funcionários a abrir arquivos maliciosos.

Os cibercriminosos geralmente escolhem empresas muito pequenas como seus alvos. As pequenas empresas raramente gastam dinheiro significativo em sistemas de segurança, geralmente nem têm um especialista em TI e, o mais importante, têm maior probabilidade de operar a partir de apenas um ou dois computadores, o que facilita a escolha de um alvo que detenha o tipo de informação que os cibercriminosos procuram.

Recentemente, nossas tecnologias detectaram mais um ataque direcionado a pequenas lojas online. Os invasores, usando métodos de engenharia social, tentaram forçar os proprietários dessas empresas a executar scripts maliciosos em seus computadores.

Engenharia social

O aspecto mais interessante desse ataque é o truque pelo qual os invasores convencem um funcionário da loja a baixar e abrir um arquivo malicioso. Eles enviam uma mensagem fingindo ser um cliente que já pagou um pedido, mas não pode recebê-lo. Eles alegam que houve problemas nos correios e solicitam à loja que preencha um documento com detalhes (informações sobre o remetente, número de rastreamento etc.). Algum empresário decente ignoraria essa carta?
A carta, em inglês imperfeito, mas bastante compreensível, contém um link para um objeto hospedado no Google Docs. Clicar no link inicia o download de um arquivo, que obviamente contém um arquivo malicioso – nesse caso, um com extensão .xlsx.

Do ponto de vista técnico

O ataque é simples, mas eficaz. Primeiro, claramente não é uma mensagem em massa – o texto da mensagem foi escrito especificamente para lojas online e provavelmente foi enviado para uma lista adequada. Segundo, não contém nada de malicioso. São apenas alguns parágrafos de texto e um link para um serviço legítimo. É improvável que os filtros de email automáticos bloqueiem essa mensagem. Não é spam ou phishing e, o mais importante, não possui anexos maliciosos.

O arquivo XLSX contém um script que baixa e executa um arquivo executável de um serviço remoto – o Trojan bancário DanaBot, conhecido por nossos sistemas desde maio de 2018. Esse malware tem uma estrutura modular e pode baixar plug-ins adicionais que permitem interceptar tráfego e roubar senhas e até carteiras de criptomoedas. No momento da redação deste artigo (de acordo com estatísticas do terceiro trimestre de 2019), está entre as 10 principais famílias de malware bancário.

Os alvos pretendidos para esse ataque são lojas muito pequenas, portanto, é muito provável que o computador infectado do qual os funcionários leem o e-mail também seja o principal para operações bancárias. Em outras palavras, conterá as informações que os invasores estão procurando.

Como se manter seguro

Primeiro, todos os computadores precisam de uma solução de segurança confiável. Nossas tecnologias de segurança não apenas identificam o DanaBot (como Trojan-Banker.Win32.Danabot), mas também registram scripts que baixam esse Trojan. Portanto, os computadores que executam soluções Kaspersky poderão interromper esse ataque antes mesmo que o Trojan seja baixado na máquina.

Segundo, é preciso atualizar os programas amplamente utilizados em tempo hábil. Atualizações para sistemas operacionais e suítes de escritório devem ter prioridade máxima. Invasores costumam usar vulnerabilidades nesse software para entrega de malware.

Para empresas muito pequenas, recomendamos o uso do Kaspersky Small Office Security. Ele não requer habilidades especiais de gerenciamento, protege de maneira confiável contra cavalos de Troia e também verifica as versões de aplicativos comuns de terceiros.

Fonte: Kaspersky