Nações Unidas são alvo de ataque de phishing do Malware Emotet

Depois de um bom tempo parado, uma dos mais perigosas ameças virtuais voltou, e as Nações Unidas são alvo de ataque de phishing do Malware Emotet.

Fingindo ser a Permanent Mission of Norway (Missão Permanente da Noruega), os operadores do Emotet realizaram um ataque de phishing direcionado contra endereços de email associados a usuários das Nações Unidas.

Nações Unidas são alvo de ataque de phishing do Malware Emotet
Nações Unidas são alvo de ataque de phishing do Malware Emotet

Nações Unidas são alvo de ataque de phishing do Malware Emotet

Sim, o trojan Emotet voltou à vida depois de três semanas de férias com fortes campanhas de spam direcionadas a países de todo o mundo.

Enquanto as campanhas normais de spam do Emotet fingiam ser relatórios contábeis, avisos de entrega e faturas falsos, os operadores de malware tinham algo em mente especial para as Nações Unidas.

Representando a “Missão Permanente da Noruega”

Em uma amostra de um email de phishing compartilhado pela empresa de segurança de email Cofense, os operadores do Emotet fingem ser representantes da Noruega nas Nações Unidas em Nova York, que afirmam que há um problema com um contrato assinado em anexo.

Segundo a Cofense, essa campanha de phishing tinha “segmentação altamente específica” e foi vista sendo enviada para 600 endereços de email exclusivos nas Nações Unidas.

O e-mail informa que os representantes da Noruega encontraram um problema com um contrato assinado e que o destinatário deve analisá-lo para descobrir o problema.

O texto completo deste e-mail de phishing direcionado pode ser lido abaixo:

Oi,

Esteja ciente de que o novo problema apareceu hoje.
Veja abaixo nossas informações para esta pergunta.

Entre em contato se precisar de mais alguma coisa.

Saudações

Missão Permanente da Noruega nas Nações Unidas em Nova York

Anexado a esses e-mails está um documento do Microsoft Word que começa com “Doc_01_13” que finge ser o contrato assinado que está sendo enviado pela Missão Permanente da Noruega.

Embora houvesse espaço para o Emotet enviar um modelo de documento do Word mais convincente, eles enviaram o mesmo usado para todas as campanhas de spam.

Este modelo finge ser um aviso de que “o documento está disponível apenas para versões de desktop ou laptop do Microsoft Office Word”. Em seguida, solicita que o usuário clique em ‘Ativar edição’ ou ‘Ativar conteúdo’ para visualizar o documento.

Se um usuário abrir o documento e ativar seu conteúdo, serão executadas macros maliciosas do Word que baixam e instalam o Emotet no computador.

O Emotet agora será executado em segundo plano enquanto envia emails de spam para outras vítimas.

Eventualmente, o Emotet também instalará outras cargas úteis, como o Trickbot, que seria quando as coisas ficassem realmente ruins para a estação de trabalho da ONU comprometida.

Emotet pode levar a um comprometimento total da rede

Quando o Emotet é instalado em uma máquina, uma das cargas de malware que é invariavelmente instalada é o Trojan TrickBot.

O Trojan TrickBot tentará coletar dados do computador, como cookies, credenciais de login, arquivos do computador e possivelmente se espalhar para outros computadores na rede.

Após a coleta de informações, o TrickBot é conhecido por abrir um shell reverso de volta aos operadores do Ryuk Ransomware.

Essas operadoras irão se infiltrar na rede, obter credenciais de administrador e, finalmente, implantar o Ryuk para criptografar todos os dispositivos da rede.

Isso é particularmente preocupante para uma rede da ONU, já que os operadores de ransomware roubam dados antes de criptografar arquivos, o que pode expor informações diplomáticas ou governamentais extremamente sensíveis.

Embora não haja vítimas conhecidas desse ataque de phishing, esse ataque direcionado ilustra que os maus atores estão constantemente tentando obter acesso às redes de organizações e redes governamentais.

É por isso que é essencial que todos os funcionários, independentemente do setor em que trabalham, sejam devidamente treinados para reconhecer emails de phishing.

Além disso, antes de abrir anexos e ativar macros, os usuários devem notificar o administrador da rede e entrar em contato com o suposto usuário que enviou o email para confirmar sua autenticidade.

O que está sendo falado no blog

Post Views: 311

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.