Campanha de Malvertising ataca utilizadores do Internet Explorer

Views: 491
0 0
Read Time:3 Minute, 36 Second

Os cibercriminosos estão a aproveitar-se da crise do COVID-19, para lucrar com a situação. Recentemente, a Equipa de Inteligência de Ameaças da Avast descobriu cibercriminosos a ajustar as suas campanhas de malvertising para adaptar os seus anúncios maliciosos, tornando-os relevantes com relação à crise do COVID-19. Essas pessoas mal intencionadas compram espaços numa rede de anúncios para mostrar malvertising (anúncios maliciosos), em sites.

Agora, os cibercriminosos estão a usar nomes de sites que parecem hospedar informações relacionadas ao coronavírus e, portanto, dando às operadoras de rede de publicidade a impressão de que não são informações maliciosas. Essa campanha de publicidade mal intencionada em particular hospeda um kit de exploração chamado Fallout, que tenta explorar as vulnerabilidades nas versões mais antigas do Internet Explorer, sem ser necessária qualquer acção do utilizador, e sem o conhecimento de que algo está a acontecer, para instalar o Kpot v2.0, um ladrão de informações e passwords.

O kit de exploração Fallout existe desde 2018 e, na maior parte, tem como alvo utilizadores japoneses e sul-coreanos. A 26 de Março de 2020, as pessoas mal-intencionadas por trás da campanha registaram o domínio covid19onlineinfo[.]com e, desde então, alternaram os domínios nos quais o kit de exploração está hospedado, registando cerca de seis domínios por dia, na tentativa de evitar detecções de antivírus.

O malvertising geralmente é hospedado em sites de streaming e aberto automaticamente numa nova guia, quando o utilizador clica no botão de reprodução para visualizar um vídeo. Quando um utilizador com o Fallout EK visita um site que hospeda o malvertising e atende aos critérios de uso de uma versão desactualizada do Internet Explorer, o kit de exploração tenta obter acesso ao computador da vítima. Ele tenta explorar uma vulnerabilidade no Adobe Flash Player (CVE-2018-15982, correcção lançada em Janeiro de 2019), que pode levar à execução arbitrária do código e uma vulnerabilidade de execução remota no mecanismo VBScript que afecta várias versões do Windows (CVE-2018-8174, correcção lançada em Maio de 2018). Isso pode causar uma falha no Internet Explorer, que é o único sinal de alerta que o utilizador pode perceber.

Se usa o Internet Explorer atenção às campanhas de malvertising 

Anteriormente, o kit de exploração infectou computadores com diversos ladrões de passwords e de informações sigilosas, e trojans bancários. Agora, ladrões de passwords e de informações sigilosas Kpot v2.0 estão a ser distribuídos. Ele tenta roubar dados básicos, como nome do computador, nome de utilizador, endereço IP do Windows, software instalado no dispositivo, GUID da máquina e muito mais, enviando essas informações para um servidor de comando e controlo.

Dessa forma, o malware passa a roubar passwords e outros ficheiros. Segundo os pesquisadores da Proofpoint, que analisaram o malware Kpot, os seguintes comandos podem ser enviados pelo servidor de comando e controlo ao malware:

  • Roubar cookies, passwords e dados de preenchimento automático do Chrome
  • Roubar cookies, passwords e dados de preenchimento automático do Firefox
  • Roubar cookies do Internet Explorer
  • Roubar vários ficheiros de criptomoeda
  • Roubar contas do Skype
  • Roubar contas do Telegram
  • Roubar contas do Discord
  • Roubar contas Battle.net
  • Roubar passwords do Internet Explorer
  • Roubar contas do Steam
  • Tirar uma captura de ecrã
  • Roubar várias contas de clientes FTP
  • Roubar várias credenciais do Windows
  • Roubar várias contas de clientes Jabber
  • Auto remoção

A 14 de Abril de 2020, a Avast impediu 178.814 tentativas de ataques, visando 96.278 utilizadores em todo o mundo.
Jan Vojtěšek, analista de malware da Avast, partilhou algumas recomendações para que os utilizadores se mantenham seguros contra essas ameaças digitais:

  • Os utilizadores devem ter um software antivírus instalado, que funcionará como uma rede de segurança, detectando e impedindo ataques maliciosos como este.
  • Mantenha sempre o software, os navegadores e os sistemas operativos actualizados. As actualizações são importantes, pois não apenas oferecem novos recursos, mas podem incluir patches de segurança para corrigir vulnerabilidades que poderiam ser abusadas.
  • Desactive o Flash, a menos que saiba que precisa mesmo dele. O Flash já não usado na grande maioria dos sites, mas os cibercriminosos continuam a abusar das suas vulnerabilidades.
  • Active o recurso de protecção de passwords da Avast, que pode ser encontrado na secção de privacidade do Avast Premium. O Avast Password Protection alerta o utilizador se um programa está a tentar aceder às passwords guardadas no Chrome ou Firefox.

FONTE: NOTICIAS E TECNOLOGIA

POSTS RELACIONADOS