0
0
Com o prazo fiscal de 18 de abril se aproximando, os hackers têm aumentado o estresse dos contadores com uma campanha de phishing projetada para entregar o Trojan de acesso remoto (RAT) Remcos.
Em um post publicado em 13 de abril, pesquisadores da Microsoft descreveram uma campanha na qual os invasores estão disfarçados de clientes de CPAs, empresas de contabilidade e empresas relacionadas que lidam com informações fiscais. O objetivo aparente é fazer com que esses custodiantes financeiros – que mantêm registros contendo as informações pessoais mais confidenciais de seus clientes, como números de Seguro Social, endereços e rendas – baixem o Remcos RAT, permitindo a fácil execução de privilégios do Windows.
“Aqueles em contabilidade e finanças devem estar mais vigilantes neste momento”, diz Sherrod DeGrippo, diretor de estratégia de inteligência de ameaças da Microsoft, que caracterizou a campanha como de média escala, mas focada. “É um momento agitado em seus negócios em que erros podem ser cometidos.”
Remcos é um programa comercial da alemã Breaking Security. Abreviação de “Controle Remoto e Vigilância”, ele permite que os usuários obtenham privilégios de administrador em computadores Windows remotos. Por exemplo, os hackers podem usá-lo para obter os mesmos tipos de privilégios sobre o laptop de um CPA que o próprio CPA possui.
Embora a Breaking Security tenha afirmado no passado que só a vende para usos legítimos, a Remcos e seus produtos irmãos – incluindo um keylogger, ferramenta de evasão, ferramenta de distribuição de spam e muito mais – têm feito as rondas nos círculos de crimes cibernéticos desde meados da década de 2010.
Contadores de phishing
A campanha começa com um e-mail de phishing cuidadosamente elaborado, uma amostra da qual pode ser vista abaixo.
Observe a engenharia social sutil em jogo, ou seja, “Peço desculpas por não responder mais cedo”, e até mesmo o título do e-mail – “Re: 2022” – implica uma correspondência contínua com um cliente existente. A palavra “confidencial” e um link protegido por senha dão um ar de segurança a todo o caso. A atração é especialmente projetada para ser crível dessas maneiras, diz DeGrippo, “a partir de seu tom casual e longos detalhes e instruções”.
O link no e-mail redireciona por meio de vários serviços legítimos: primeiro um serviço de rastreamento de cliques da Amazon Web Services, depois um site comum de hospedagem de arquivos, espaços[.] cauda alta[.] .com. Ambos atuam como camadas de evasão, sacudindo a potencial detecção anti-malware.
Sentado no site de hospedagem de arquivos é um arquivo .ZIP contendo atalho. Os arquivos LNK, que enviam solicitações da Web diretamente ao agente de ameaça, acionam o download de qualquer número de arquivos maliciosos “como arquivos MSI contendo DLLs ou executáveis, arquivos VBScript contendo comandos do PowerShell ou PDFs enganosos”, explicou a Microsoft. Em alguns casos, observou o blog, o downloader de infostealer GuLoader foi usado para baixar os produtos premiados: Remcos RAT.
Hackeando contadores em abril: movimento de cibercrime experiente
Que essa campanha esteja acontecendo agora – e só tenha começado em fevereiro – não é coincidência, é claro.
“As empresas de serviços financeiros estão em sua época mais procurada do ano”, observa DeGrippo. “Acabei de declarar meus impostos esta semana e meu CPA estava claramente trabalhando longas horas e respondendo a e-mails tarde da noite. Quando esse é o caso desses tipos de empresas, os funcionários podem perder algo ou clicar em coisas que não deveriam.”
E quando um CPA escorrega, é pior do que para praticamente qualquer outro tipo de profissional.
“Esses tipos de alvos são atraentes porque lidam com informações financeiras do tipo mais sensível”, continua DeGrippo. “Impostos, informações de números de Seguro Social, contabilidade e números de contas bancárias e roteamento são úteis para os agentes de ameaças diretamente, ou podem ser vendidos no mercado negro para outros criminosos para uso em novos ataques.”
Para ajudar a compensar a falta de higiene cibernética que pode acompanhar os e-mails constantes dos contadores, os registros frenéticos e as horas tardias nesta época do ano, a Microsoft recomendou que profissionais e empresas bloqueiem o JavaScript e o VBScript de lançar conteúdo executável e bloqueiem a execução de arquivos executáveis não confiáveis. A postagem no blog também destacou a utilidade da verificação antivírus e do monitoramento de comportamento em tempo real.
E, acrescenta DeGrippo, “uma prática recomendada para enviar esses tipos de documentos confidenciais é que as empresas tenham um serviço de nuvem confiável onde os clientes possam fazer upload de seus documentos.
“Enviar e-mails em torno de material sensível nunca é uma boa ideia”, conclui. “Especialmente quando pode haver malware na mistura.”
FONTE: DARK READING