BaseCamp é o serviço mais recente que está sendo abusado por criminosos de computador para espalhar malware em um novo ataque de phishing. Vários incidentes a esse respeito ocorreram levando à conclusão de que esta pode ser uma nova tendência entre os criminosos. BaseCamp é um serviço online popular usado para gerenciamento de projetos e colaboração.
As campanhas de phishing agora se concentram no BaseCamp: O serviço é usado para espalhar malware
Os usuários do serviço BaseCamp precisam estar atentos, pois o serviço online agora é direcionado por hackers de computador. O popular site de colaboração é a mais nova vítima de vários ataques de phishing por grupos de computadores desconhecidos. No momento não há informações sobre a identidade dos criminosos. Descobrimos que os hackers têm aproveitado os recursos do serviço em sua tentativa de enganar os usuários de computador para que sejam infectados com malware.
O ponto de intrusão é o processo de criação de documentos - ao criar itens online, o serviço BaseCamp permite uma formatação rica usando links HTML, decorações de texto e imagens. Os usuários podem fazer upload de praticamente qualquer tipo de arquivo para projetos, mesmo aqueles que são portadores de vírus comuns.
Eles incluem arquivos executáveis, Scripts e documentos JavaScript. Vários malware podem ser definidos neles:
- Arquivos executáveis — Eles podem incluir os arquivos de malware diretamente ou ser portadores infectados por vírus. Os executáveis deste tipo são instaladores de aplicativos, manchas, atualizações, add-ons e etc.
- documentos — Eles geralmente incluem macros infectadas por vírus e podem ser de todos os formatos de arquivo populares: documentos de texto, Planilhas, bases de dados e apresentações.
- Código do navegador JavaScript — Os navegadores da web podem ser diretamente instruídos a baixar e executar o malware.
A abordagem de phishing usada por hackers de computador é usar contas roubadas ou feitas propositalmente no serviço e usar a opção de criação de documentos para fazer upload e distribuir os arquivos de vírus mencionados acima. Os links podem ser enviados diretamente ou por meio de geradores de links encurtados.
Esses links de download podem ser usados para distribuir malware perigoso, incluindo infecções por cavalos de Tróia e ransomware com criptografia de arquivos. BaseCamp é considerado um transportador de carga útil ideal, pois é frequentemente “confiável por padrão” por usuários e software de segurança (incluindo firewalls). Até esta data não houve nenhum caso notável de infecções virais graves realizadas por ele, levando-nos a acreditar que essa abordagem é mais adequada contra todos os tipos de usuários.
O que sabemos é que algumas das táticas de phishing atuais estão enviando amostras do Trojan BazarLoader, uma variante do malware TrickBot. Ele é projetado para se infiltrar nos computadores dos usuários de computador e se espalhar por sua rede interna. Esses vírus permitirão que os hackers assumam o controle dos sistemas, espionar as vítimas, e também instalar outras ameaças. A varredura da execução do código mostra que o Ryuk ransomware está instalado. Este é um dos vírus mais perigosos nesta categoria.
Aconselhamos todos os usuários a agirem com cuidado, mesmo ao abrir documentos de serviço que foram enviados por pessoas não confiáveis. As informações sobre esses incidentes foram postadas online pelo pesquisador de segurança Will Thomas que descobriu sobre as páginas intermediárias de phishing. As infecções por Trojan foram detectadas pelo MalwareHunterTeam.