Vídeo: U.S. hospitals hit with growing ransomware attacks (Novembro 2024)
Nem todos os ataques baseados em e-mail parecem vir de famílias de déspotas depostos, vendedores divulgando remédios milagrosos ou empresas de transporte que lembram você de uma entrega. Alguns parecem indivíduos infelizes, procurando emprego. E nessa economia, todos conhecemos pelo menos uma pessoa que envia currículos para todos que eles conhecem, na esperança de conseguir uma entrevista.
Mas, como disse a Cloudmark em seu último envio de Tasty Spam, "Não fique tentado por currículos inesperados". Eles podem te morder, com força.
A Cloudmark recentemente viu uma campanha de ransomware entregue na forma de um currículo falso, disse o pesquisador Andrew Conway. O ataque em si não é direto e a receita precisa abrir o arquivo malicioso várias vezes, mas ainda é eficaz o suficiente para que muitas vítimas tenham sido impactadas.
Conway descreveu as várias etapas da campanha:
O email de ataque vem de um Yahoo! Conta de email e possui um arquivo que pretende ser um currículo anexado. Conway apontou os quatro sinais de alerta na mensagem: era uma mensagem não solicitada; o remetente não forneceu um sobrenome; o currículo foi enviado como um arquivo.zip; e há erros de gramática, pontuação ou ortografia.
"Alguém genuinamente enviando um currículo revisaria seu trabalho", disse Conway.
Quando o destinatário abre o arquivo.zip, ele encontra um arquivo html com um nome como resume7360.html . O fato de o currículo estar no formato.html é outro sinalizador vermelho, considerando que a maioria dos currículos é enviada como documentos de texto, PDF ou Word. "É claro que é uma má idéia abrir arquivos PDF e Word não solicitados também", disse Conway.
Uma amostra do arquivo HTML do ataque é semelhante a esta:
Quando o destinatário tenta abrir o arquivo, o navegador tenta carregar o URL na tag IFRAME. "É o mesmo que forçar o usuário a clicar em um link", disse Conway, observando que, nesse caso, o link aponta para um servidor da Web comprometido. O URL carrega ainda outro arquivo HTML, que possui um link de redirecionamento apontando para um link do Google Docs.
O redirecionamento usa uma tag de atualização meta, que geralmente é usada para atualizar o conteúdo de uma página da Web em tempo real. Uma atualização meta para uma página da Web em um domínio diferente geralmente é maliciosa. A maioria das pessoas usaria o redirecionamento HTTP ou JavaScript para fazer isso, não uma atualização meta. Apenas para sua informação, o HTML da página de destino comprometida é assim:
O link do Google Docs baixa outro arquivo zip chamado my_resume.zip e contém um arquivo com um nome como my_resume_pdf_id_8412-7311.scr . "Um arquivo baixado aleatoriamente da Internet. Perigo, Will Robinson!" disse Conway.
O sufixo.scr é para protetores de tela do Windows, mas eles são arquivos executáveis essencialmente formatados para o Windows. A extensão.scr é freqüentemente usada para entregar malware a usuários inocentes. Quando a vítima abre o arquivo.scr, isso aciona o ransomware. Todos os seus arquivos são criptografados e recebem uma nota de centenas de dólares para recuperá-los.
Conway levantou um ponto interessante sobre essa campanha de ransomware. O invasor teve que executar tantas etapas complicadas porque as modernas ferramentas de filtragem de antivírus e spam são eficazes o suficiente para que a única maneira de obter sucesso seja encadear várias etapas para contornar as defesas. Se você sentir que precisa pular vários hoppos apenas para visualizar um currículo, isso deve ser um aviso de que algo está errado. Talvez a pessoa por trás do email não esteja realmente interessada em um emprego.