Pesquisadores de segurança de computador detectaram uma nova campanha massiva de SPAM que recebeu o nome de código ‘Salfram’ e visa principalmente usuários de negócios e empresas. Vários grupos de hackers estão por trás dos ataques e, dependendo da configuração atual, vários malwares estão sendo descobertos.
Novo, Grande e perigosa campanha de ataque por e-mail apelidada de 'Salfram’ Empresas-alvo
Relatórios de uma perigosa campanha de novo ataque contendo vários malware está atacando rapidamente alvos corporativos e empresas em todo o mundo. Parece que esta campanha se baseia em ataques anteriores feitos por vários grupos de hackers. Este é um ataque particularmente perigoso, pois depende de uma estrutura de conteúdo complexa que possibilita evadir verificações de segurança — os arquivos de vírus não são colocados em mensagens típicas de copiar e colar. Em vez disso, o seguinte características distintas são indicativos desta campanha específica:
- Conteúdo Preparado — Em vez de inserir conteúdos típicos, esses e-mails maliciosos apresentarão formulários de contato baseados na web, scripts e elementos interativos. Eles emularão notificações e mensagens legítimas e podem superar os filtros típicos usados pelo software de proteção./li>
- Cabeçalhos Modificados — Todas as mensagens de e-mail que fazem parte desta campanha têm cabeçalhos modificados que incluem o ‘Salfram’ string que posteriormente foi usada como um identificador.
- Conteúdo criptografado — Uma cifra forte é incluída nas mensagens a fim de ofuscar as cargas úteis.
O ataque é organizado pelo envio de informações por meio do formulários de contato que são publicados nos sites da empresa. Esta é uma forma legítima de comunicação, amplamente usada para suporte ao cliente ou feedback. Diferentes tipos de mensagens são preparados dependendo do setor e do perfil da indústria da empresa.
As mensagens preparadas incluirão links de malware que levará os destinatários a arquivos hospedados em servidores controlados por hackers, plataformas de armazenamento em nuvem e etc. Na maioria dos casos, os arquivos recuperados serão documentos infectados com macro que são preparados em todos os formatos populares de escritório. E quando abertos eles vão ativar um script de entrega de carga levando a uma infecção de vírus.
De acordo com relatórios de pesquisa os ataques estão ajustados e provavelmente mudarão em um futuro próximo. Eles são particularmente úteis para espalhar malware perigoso, como o Trojan Qbot.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: