Os clientes do amazon.co.uk estão sendo direcionados por e-mails fraudulentos com documentos maliciosos do Microsoft Word anexados. As mensagens afirmam conter detalhes sobre o transporte de um pedido, tendo o número do pacote no campo assunto.
Sobre 600 000 E-mails maliciosos enviados
A atividade maliciosa foi detectada pela primeira vez por pesquisadores da AppRiver no final de outubro. O número de emails maliciosos isolados pela empresa desde então é 600 000.
Alegadamente, há um documento do Word anexado ao e-mail fraudulento que contém uma macro maliciosa que executa comandos para canalizar um dropper de Trojan na máquina de destino. Este em particular é um keylogger que rouba credenciais bancárias, informações de login para serviços de e-mail e perfis de mídia social. este, claro, não garante que os criminosos não o usarão em um tipo diferente de ataque no futuro.
Macro – Um pedaço de código VBA que pode ser facilmente integrado ao Office para que os usuários possam automatizar suas tarefas diárias. Esse recurso é frequentemente mal utilizado por criminosos cibernéticos, adicionando comandos para baixar diferentes malwares para ele.
Por causa dos riscos envolvidos, as macros estão desabilitadas no componente do Office por padrão. assim, para que os comandos sejam executados, o usuário precisa ativar o suporte para macros intencionalmente.
Os bandidos por trás da campanha
Especialistas da AppRiver revelam que outra parte está mirando usuários da amazon.co.uk. 160 000 e-mails maliciosos foram capturados até agora. Os analistas notaram algumas diferenças no assunto e no conteúdo do e-mail, bem como na abordagem de injeção, mas o objetivo final ainda é o mesmo – infectar o computador alvo com malware.
Para fazer o golpe parecer mais crível, os bandidos adicionaram alguns toques bastante precisos:
- Os gráficos da Amazon são inseridos no corpo da mensagem.
- O campo de assunto contém uma confirmação de pedido.
Nesse caso, os e-mails fraudulentos não possuem arquivos maliciosos anexados. O que eles contêm são links para sites WordPress comprometidos. À medida que a vítima clica no link, o download de um arquivo chamado fatura1104.pdf(ponto)scr está ativado. O executável não é alterado - ainda é um dropper de Trojan.
A extensão SCR em um documento do Word é uma bandeira vermelha por si só. Os usuários são aconselhados a ter um cuidado extra com e-mails relacionados a compras na temporada de compras, pois os hackers costumam usá-los como cobertura para suas campanhas maliciosas.