07 out Vírus vampiro ataca pessoas desempregadas via email e redes sociais
Uma nova campanha maliciosa busca infectar pessoas em busca de um emprego — e também contratantes. Perpetuada por um cibercriminoso conhecido como BatShadow, a ação utiliza engenharia social para recrutar vítimas e distribuir arquivos PDF e documentos infectados.
“Quando abertas, essas iscas acionam a cadeia de infecção de um malware baseado em Go que chamamos de Vampire Bot”, explicam os pesquisadores da empresa de soluções de rede e segurança Aryaka. “A campanha demonstra como os cibercriminosos exploram a confiança em fluxos de trabalho profissionais para obter persistência, conduzir vigilância de sistema e exfiltrar informações confidenciais, tudo isso enquanto misturam suas atividades ao tráfego aparentemente normal”.
Facebook, LinkedIn, Instagram e emails: todos os serviços podem ser usados para encontrar vítimas
O relatório não indica quais países são atacados pela campanha, contudo, as provas técnicas do malware são apresentadas em língua inglesa — ou seja, os Estados Unidos devem ser o principal alvo. Mesmo assim, o relato é importante para brasileiros: já existem indícios de diferentes golpes similares por aqui.
PDF falso (Fonte: Aryaka)
Quem é BatShadow
Não há ligações diretas do cibercriminoso BatShadow com qualquer grupo previamente registrado. Até o momento, as poucas informações encontradas indicam que o atacante é vietnamita — indicação encontrada via IP (103.124.95[.]161).
As principais empresas que são usadas em vagas de emprego falsa envolvem a Samsung e a rede hoteleira Marriott.
Como nasce o ataque
O clássico phishing é o vetor inicial: vagas de emprego falsas distribuídas na internet e redes sociais.
As mensagens falsas enviadas para as vítimas possuem um arquivo ZIP com PDF interno como disfarce: ele não passa de um link executável LNK — um atalho para baixar arquivos via Windows.
Quando acionado pela vítima, o LNK roda um script PowerShell (realiza comandos, funções, variáveis, condições e outras instruções escritas na linguagem de script do PowerShell) que realiza o download de um programa relacionado ao XtraViewer, um software que faz conexões remotas.
Isso é o acontece sob o capô. Com a ótica da vítima, ela apenas é levada para uma página preview do PDF falso que entrega uma mensagem de erro dentro do navegador.
Neste ponto mora outro pulo do gato: o usuário é instruído a copiar e colar a URL dentro no navegador Edge, visto que o Google Chrome costuma bloquear o redirecionamento. Ao copiar, colar e apertar Enter, o download do malware completa seu ciclo.
Ao abrir o PDF diretamente no Edge logo de cara, outra mensagem de erro é exibida e, infelizmente para a vítima, um download automático é iniciado.
Processo de infecção (Fonte: Aryaka)
O que é o “vírus vampiro”?
De acordo com os pesquisadores da Aryaka, o malware é baseado na linguagem Golang e foi batizado de ‘Vampire Bot’. Ele tem a capacidade de infectar o host, roubar informações, realizar capturas de tela (até em intervalos configuráveis pelo criminoso) e manter comunicação com o servidor infectado para executar comandos ou buscar cargas úteis.
A vigilância dos dados é realizada por um bot baseado em Go. Tudo que é recolhido acaba criptografado em AES e enviado para uma infraestrutura de comando e controle.
“O bot realiza monitoramento contínuo da área de trabalho, capturando capturas de tela em intervalos configurados pelo servidor C2”, explicam os pesquisadores. “Essas capturas de tela, armazenadas como imagens WEBP, são transmitidas por HTTPS, misturando-se ao tráfego regular da rede para evitar detecção. O malware também mantém um loop C2 persistente para receber instruções criptografadas, que podem incluir a execução de comandos ou o download e a execução de payloads adicionais. Importante ressaltar que o bot relata continuamente o status das tarefas ao servidor, permitindo que o BatShadow mantenha controle remoto abrangente sobre os sistemas comprometidos”.
O que tudo isso significa? Ao ser infectado, o cibercriminoso consegue praticamente acesso completo ao computador. Ou seja, desde acompanhar mensagens e emails, capturar documentos e arquivos armazenados, até roubar informações bancárias.
Funções do malware (Fonte: Aryaka)
Como se proteger de malwares
O TecMundo recomenda os seguintes passos:
Utilize antivírus: mantenha um bom antivírus instalado no seu celular e computador (Avast, Kaspersky, ESET, MalwareBytes etc);Atenção aos golpes direcionados: vazamentos do tipo são ouro para cibercriminosos especializados em spear phishing. É importante que você redobre a atenção para mensagens urgentes recebidas de serviços que você utilize. Confie na sensação de estranhamento em mensagens recebidas;Atenção ao CPF: utilize o Registrato, do Banco Central, para acompanhar movimentações no seu CPF;Proteja-se: tenha segundo fator de autenticação em todas as suas contas (se possível, com app terceiro, sem SMS);Mantenha seus apps e sistema operacional com a última atualização disponível, principalmente navegadores como Chrome, Edge, Firefox etc;Utilize novas senhas longas (mais de 12 caracteres) e complexas;Altere suas senhas a cada seis meses e não repita entre serviços