Investigadores de segurança continuam a detetar ataques in-the-wild com templates do Coronavírus. A mais recente campanha de phishing usa mensagens que fingem ser de um hospital local informando as vítimas de que foram expostas ao vírus e que precisam ser testadas com urgência.
Os agentes de ameaças tentam tirar proveito do medo da população de estar infectada com o COVID-19, que está a atingir centenas de milhares de pessoas em todo o mundo.
As mensagens de phishing informam as vítimas que um de seus colegas, amigos ou familiares testou positivo para o vírus. Depois ,recomenda que imprimam o ficheiro “EmergencyContact.xlsm” anexado e o levem ao centro de testes mais próximo.
Ao abrirem o ficheiro malicioso (EmergencyContact.xlsm), as vítimas precisão “Ativar Conteúdo” para visualizar o conteúdo do documento protegido, mas essa ação aciona o processo de infeção.
“If a user enables content, malicious macros will be executed to download a malware executable to the computer and launch it.” reads the post published by BleepingComputer.
O ficheiro malicioso injeta vários processos no ficheiro legítimo do Windows msiexec.exe para evitar a sua deteção por parte de soluções de segurança.
De acordo com a BleepingComputer, este malware é um credential stealer, pois tenta exfiltrar carteiras bitcoins e cookies dos navegadores de Internet dos dispositivos das vítimas.
In a cursory analysis, BleepingComputer saw that the malware performed the following behavior:
Search for and possibly steal cryptocurrency wallets.
Steals web browser cookies that could allow attackers to log in to sites with your account.
Gets a list of programs running on the computer.
Looks for open shares on the network with the
net view /all /domaincommand.Gets local IP address information configured on the computer.
Este peça de malware também obtém a lista de programas em execução no computador, procura shares partilhadas na rede e obtém informações de endereço IP local configuradas no computador.
Neste fase crítica, é importante avaliar e pensar antes de clicar em qualquer email de fontes desconhecidas, muito menos, emails relativos à pandemia Coronavírus aka Covid-19.
Ficam aqui outros exemplares retirados do webiste da CODEFENSE.
