Marcadores

Detectado aumento de ataques de phishing dirigidos à infraestrutura na Ucrânia, prévio à guerra

 Ataques podem ter sido projetados com o intuito de afetar a infraestrutura de internet do país e podem estar relacionados aos ataques DDoS, que foram realizados contra o Departamento de Defesa e os Bancos da Ucrânia.

A Avast (LSE:AVST), líder global em segurança e privacidade digital, relata que em fevereiro, pouco antes da Rússia invadir a Ucrânia, um número crescente de ataques de phishing foi observado no ciberespaço ucraniano. Os ataques observados visavam um fabricante de hardware de infraestrutura de rede, um administrador de domínio, bem como serviços e instituições de diferentes setores, como de envio, hospedagem na web, plataformas para recrutadores e vendedores.

RATs (Ferramentas de Acesso Remoto) e malware para roubo de senha - como AgentTesla ou FormBook -, foram incluídos como anexos em e-mails de phishing que foram disseminados com assuntos relacionados a pagamentos e faturas. Esses ataques podem ter sido projetados para afetar a infraestrutura de internet do país, podem estar relacionados ou servidos para complementar os ataques DDoS realizados contra o Departamento de Defesa e Bancos da Ucrânia, pouco antes da Rússia invadir o país.

A Avast determinou o valor médio do número de ataques de phishing por dia, antes do início da guerra na Ucrânia. Dois picos significativos podem ser observados em 16 de fevereiro e de 21 a 23 de fevereiro.

Chart, bar chart Description automatically generated

Figura 1. Ataques de phishing na Ucrânia

As cidades mais afetadas pelos ataques foram Kiev (36%), Odessa (29%), Lviv (6%), Mariupol (5%).

Por sua vez, os assunto dos e-mails de phishing foram direcionadas principalmente para os departamentos de contabilidade e incluem:

  • Pagamento SWIFT

  • Pagamento de faturas: MT103_Swift Copy

  • Transferência bancária para a conta da sua empresa

  • Assunto: pedido de compra

  • Re: Confirmação de transferência

Além disso, os anexos de e-mail continham uma combinação de RATs e malware, visando roubo de senha, como AgentTesla ou FormBook.

Primeira onda de ataques digitais

A Avast detectou o primeiro pico significativo em 16 de fevereiro. O maior ataque identificado foi direcionado a um administrador de domínio ucraniano, ukrnames.com. Também provê registro de nome de domínio, hospedagem de site, registro de certificado SSL, entre outros.

A segunda onda de ataques identificados teve como alvo um fornecedor de hardware localizado em Lviv, que forneceu equipamentos para infraestruturas de rede (lanbox.com.ua).

Segundo dados da Avast, o site só foi atacado no dia 16 de fevereiro. A grande maioria dos ataques contra o ukrnames.com também ocorreu em 16 de fevereiro. Apenas alguns incidentes foram monitorados em 17, 18 e 21 de fevereiro. Ambos os ataques contra ukrnames.com e Lanbox parecem ter sido direcionados. A tabela, a seguir, mostra a proporção percentual de ataques direcionados:

Table Description automatically generated with medium confidence

Uma segunda onda de ataques

A segunda onda desses ataques digitais ocorreu de 21 a 23 de fevereiro. Essa onda consistiu em uma ampla gama de ataques contra serviços e instituições de diferentes áreas, como: de envio, hospedagem web, plataformas para recrutadores e vendedores. Nenhum ataque significativo contra um alvo específico foi identificado nesta onda.

Ataques via anexos em e-mail

Os assuntos de e-mails de phishing e o malware incluído nos anexos ajudaram a identificar arquivos específicos, que foram usados em ataques de phishing baseados no sistema trampa de email da Avast.

Os tipos mais comuns de anexos suspeitos são os arquivos .pdf e .docx. Esses documentos do Microsoft Word normalmente contêm uma imagem, a qual se parece com uma janela pop-up com uma mensagem, solicitando aos usuários que habilitem o conteúdo dos documentos, gerando uma série de cargas maliciosas, conforme observa-se nas imagens abaixo.

Graphical user interface, text, application, email Description automatically generated

No caso de e-mails .docx, eles contêm apenas uma imagem com uma mensagem e um código macro malicioso oculto, ou seja, se o usuário clicar em "habilitar edição", um payload é iniciado e geralmente começa a baixar malwares, que podem assumir o controle do computador da vítima.

Graphical user interface, text, application Description automatically generated 

O segundo tipo de arquivo é o .pdf, que contém uma imagem prometendo um desconto em combustível, caso o usuário clique sobre ela. Na realidade, o usuário é redirecionado para um site suspeito, com conteúdo malicioso.

É claro que as empresas ucranianas não foram poupadas de ataques de phishing, com os invasores mirando em infraestruturas de comunicação locais, provedores de redes e outros serviços.

Para se proteger contra tais ataques, a Avast aconselha os usuários a não abrirem ou habilitarem anexos desconhecidos e suspeitos. Dados recentes sugerem que os ataques de phishing contra ucranianos diminuíram, o que provavelmente se deve aos combates contínuos e às pessoas que passam menos tempo online. A Avast continuará monitorando as atividades de phishing na região.

###

Sobre a Avast

A Avast (LSE: AVST), uma empresa FTSE 100, é líder global em segurança digital e produtos de privacidade. Com mais de 435 milhões de usuários online, a Avast oferece produtos sob as marcas Avast e AVG que protegem as pessoas de ameaças na internet e do cenário de ameaças IoT em evolução. A rede de detecção de ameaças da companhia está entre as mais avançadas do mundo, usando tecnologias de aprendizado de máquina e inteligência artificial para detectar e interromper ameaças em tempo real. Os produtos de segurança digital da Avast para dispositivos móveis, PC ou Mac são os melhores e certificados pela VB100, AV-Comparatives, AV-Test, SE Labs e outros. A Avast é membro da Coalition Against Stalkerware, No More Ransom e Internet Watch Foundation. Visite: www.avast.com/pt-br 

Mantenha contato com a Avast:

Siga-nos no Facebook: https://www.facebook.com/avast.br

Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas