Criminosos atacam organizações médicas e governamentais com ficheiros RTF do COVID-19.

Atores de ameaças continuam a usar a pandemia do COVID-19 para lançar vários ataques, como campanhas de malware, phishing, fraude e desinformação.

Diversas campanhas de phishing utilizando o tema COVID-19 têm sido observadas nestes últimos dias. Estas campanhas têm como alvo organizações governamentais e médicas.

Investigadores da Unit42 observaram que vários e-mails maliciosos pareciam vir da OMS com o endereço falsificado (noreply@who[.]int). Os criminosos recorrem a uma técnica conhecida por email spoofing.

A campanha tem como alvo indivíduos associados a uma organização de saúde do governo canadiano que trabalham ativamente para mitigar o COVID-19.

Os criminosos estão a utilizar um ficheiro doc que uma vez aberto executa o payload malicioso através da vulnerabilidade CVE-2012-0158.

The emails contain a malicious Rich Text Format (RTF) with the filename (20200323-sitrep-63-covid-19.doc), once the file is opened with document viewing tool, it drops a ransomware payload exploiting the Microsoft component vulnerability, CVE-2012-0158.

 

O PE-File descarregado está escondido e possui um ícone do Adobe Acrobat. Uma vez executado, ele envia um pedido HTTP GET para descarregar a ransom note, que é usada para a notificar que o computador foi infetado via ransomware.

 

Depois que a imagem ser descarregada do C2, o próximo pedido  é criado com base no nome da vítima e nome do computador infetado, para que este seja associado à lista de infetado na posse do grupo criminoso.

By getting the victim details then C&C server creates a custom key based on the username/hostname details and sends the key back to the infected host for further processing.

 

Em seguida, o C2 cria uma chave baseada nos detalhes da vítima e envia a chave de volta para o device comprometido.

O ransomware cifra os seguintes ficheiros e anexa a extensão .locked20 ao nome dos mesmos.

Os investigadores da Unit42 acreditam que este ransomware usa uma variante do EDA2.

“.abw”, “.aww”, “.chm”, “.dbx”, “.djvu”, “.doc”, “.docm”, “.docx”, “.dot”, “.dotm”, “.dotx”, “.epub”, “.gp4”, “.ind”, “.indd”, “.key”, “.keynote”, “.mht”, “.mpp”, “.odf”, “.ods”, “.odt”, “.ott”, “.oxps”, “.pages”, “.pdf”, “.pmd”, “.pot”, “.potx”, “.pps”, “.ppsx”, “.ppt”, “.pptm”, “.pptx”, “.prn”, “.prproj”, “.ps”, “.pub”, “.pwi”, “.rtf”, “.sdd”, “.sdw”, “.shs”, “.snp”, “.sxw”, “.tpl”, “.vsd”, “.wpd”, “.wps”, “.wri”, “.xps”, “.bak”, “.bbb”, “.bkf”, “.bkp”, “.dbk”, “.gho”, “.iso”, “.json”, “.mdbackup”, “.nba”, “.nbf”, “.nco”, “.nrg”, “.old”, “.rar”, “.sbf”, “.sbu”, “.spb”, “.spba”, “.tib”, “.wbcat”, “.zip”, “7z”, “.dll”, “.dbf”

 

Em outra campanha direcionada com o tema do COVID-19, foram enviados inúmeros emails de malspam  para vários clientes dos setores de saúde, governamental, entre outros.

Estes emails distribuem em anexo o mediático malware AgentTesla que está no ativo desde 2014. Ele é capaz de roubar credenciais armazenadas em uma ampla lista de navegadores de Internet, clientes FTP, ficheiros de texto, etc.

Aos utilizadores sugere-se algum cuidado quando confrontados com emails suspeitos, nomeadamente utilizando o tema COVID-19 tão sensível neste momento para todos nós.

 


Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *