Investigadores de segurança continuam a detetar ataques in-the-wild com templates do Coronavírus. A mais recente campanha de phishing usa mensagens que fingem ser de um hospital local informando as vítimas de que foram expostas ao vírus e que precisam ser testadas com urgência.
Os agentes de ameaças tentam tirar proveito do medo da população de estar infectada com o COVID-19, que está a atingir centenas de milhares de pessoas em todo o mundo.
As mensagens de phishing informam as vítimas que um de seus colegas, amigos ou familiares testou positivo para o vírus. Depois ,recomenda que imprimam o ficheiro “EmergencyContact.xlsm” anexado e o levem ao centro de testes mais próximo.
Ao abrirem o ficheiro malicioso (EmergencyContact.xlsm), as vítimas precisão “Ativar Conteúdo” para visualizar o conteúdo do documento protegido, mas essa ação aciona o processo de infeção.
“If a user enables content, malicious macros will be executed to download a malware executable to the computer and launch it.” reads the post published by BleepingComputer.
O ficheiro malicioso injeta vários processos no ficheiro legítimo do Windows msiexec.exe para evitar a sua deteção por parte de soluções de segurança.
De acordo com a BleepingComputer, este malware é um credential stealer, pois tenta exfiltrar carteiras bitcoins e cookies dos navegadores de Internet dos dispositivos das vítimas.
In a cursory analysis, BleepingComputer saw that the malware performed the following behavior:
Search for and possibly steal cryptocurrency wallets.
Steals web browser cookies that could allow attackers to log in to sites with your account.
Gets a list of programs running on the computer.
Looks for open shares on the network with the
net view /all /domain
command.Gets local IP address information configured on the computer.
Este peça de malware também obtém a lista de programas em execução no computador, procura shares partilhadas na rede e obtém informações de endereço IP local configuradas no computador.
Neste fase crítica, é importante avaliar e pensar antes de clicar em qualquer email de fontes desconhecidas, muito menos, emails relativos à pandemia Coronavírus aka Covid-19.
Ficam aqui outros exemplares retirados do webiste da CODEFENSE.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.