Vídeo: Golpistas nigerianos usam internet para extorquir mulheres apaixonadas (Outubro 2024)
Esses príncipes nigerianos têm novos truques nas mangas.
Lembra daqueles 419 golpes? Essas eram as mensagens de e-mail, muitas vezes mal escritas, que pretendiam ser de um indivíduo rico, disposto a pagar generosamente por ajuda na transferência de sua riqueza para fora do país. Na verdade, quando as vítimas entregaram seus dados financeiros para ajudar e obter uma grande recompensa, os fraudadores saquearam as contas bancárias e desapareceram.
Parece que esses golpistas adotaram técnicas de ataque e malware de roubo de dados usados anteriormente por grupos de crimes cibernéticos e espionagem cibernética mais sofisticados, disseram os pesquisadores da Palo Alto Networks. Pesquisadores da Unidade 42, equipe de inteligência de ameaças da empresa, descreveram a série de ataques contra empresas de Taiwan e da Coréia do Sul no relatório "419 Evolution" divulgado terça-feira.
No passado, os golpes de engenharia social tinham como alvo principal "indivíduos ricos e inocentes". Com novas ferramentas em mãos, esses 419 scammers parecem ter mudado o número de vítimas para incluir empresas.
"Os atores não mostram um alto nível de perspicácia técnica, mas representam uma ameaça crescente para empresas que ainda não eram seus principais alvos", disse Ryan Olson, diretor de inteligência da Unidade 42.
Ataques sofisticados dos não iniciados
A Palo Alto Networks acompanhou os ataques, apelidados de "Silver Spaniel" pelos pesquisadores da Unidade 42, nos últimos três meses. Os ataques começaram com um anexo de email malicioso, que quando clicado, instalava malware no computador da vítima. Um exemplo é uma ferramenta de administração remota (RAT) chamada NetWire, que permite que os invasores controlem remotamente máquinas Windows, Mac OS X e Linux. Outra ferramenta, DataScrambler, foi usada para reembalar o NetWire para evitar a detecção por programas antivírus. O DarkComet RAT também foi usado nesses ataques, segundo o relatório.
Essas ferramentas são baratas e prontamente disponíveis em fóruns clandestinos e podem ser "implantadas por qualquer pessoa com um laptop e um endereço de e-mail", diz o relatório.
Os 419 golpistas eram especialistas em engenharia social, mas eram novatos no que diz respeito ao trabalho com malware e "mostraram segurança operacional notavelmente baixa", segundo o relatório. Embora a infraestrutura de comando e controle tenha sido projetada para usar domínios DNS dinâmicos (do NoIP.com) e um serviço VPN (do NVPN.net), alguns dos invasores configuraram os domínios DNS para apontar para seus próprios endereços IP. Os pesquisadores conseguiram rastrear as conexões com os provedores de Internet móvel e via satélite da Nigéria, segundo o relatório.
Os golpistas têm muito a aprender
No momento, os invasores não estão explorando nenhuma vulnerabilidade de software e ainda contam com a engenharia social (na qual são muito bons) para induzir as vítimas a instalar malware. Eles parecem estar roubando senhas e outros dados para iniciar ataques de engenharia social de acompanhamento.
"Até agora, não observamos nenhuma carga secundária instalada ou nenhum movimento lateral entre os sistemas, mas não podemos descartar essa atividade", escreveram os pesquisadores.
Pesquisadores descobriram um nigeriano que mencionou o malware repetidamente no Facebook, perguntando sobre recursos específicos do NetWire ou solicitando suporte ao trabalho com Zeus e SpyEye, por exemplo. Embora os pesquisadores ainda não tenham vinculado esse ator específico aos ataques do Silver Spaniel, ele foi um exemplo de alguém "que iniciou suas carreiras criminais operando 419 golpes e está desenvolvendo seu ofício para usar ferramentas de malware encontradas em fóruns clandestinos", disse a Palo Alto Networks.
O relatório recomendava bloquear todos os anexos executáveis em emails e inspecionar os arquivos.zip e.rar para possíveis arquivos maliciosos. Os firewalls também devem bloquear o acesso aos domínios DNS dinâmicos comumente abusados, e os usuários precisam ser treinados para suspeitar de anexos, mesmo quando os nomes de arquivos parecem legítimos ou relacionados ao seu trabalho, disse a Palo Alto Networks. O relatório incluía regras do Snort e Suricata para detectar o tráfego do Netwire. Os pesquisadores também lançaram uma ferramenta gratuita para descriptografar e decodificar comandos e controles de tráfego e revelar dados roubados por atacantes do Silver Spaniel.
"No momento, não esperamos que os atores do Silver Spaniel comecem a desenvolver novas ferramentas ou explorações, mas é provável que adotem novas ferramentas feitas por atores mais capazes", afirmou o relatório.
