Cuidado com as Três Principais Campanhas Dominantes do Trojan Trickbot na Temporada de Impostos de 2019
É época de impostos e os cibercriminosos estão ocupados desenvolvendo esquemas para roubar o máximo possível de identidades, fundos e declarações fiscais. Normalmente, eles contam com campanhas de spam para distribuir o infame Trojan bancário TrickBot para indivíduos e empresas. Este ano não faz exceção, já que pesquisadores da unidade X-Force da IBM detectaram até três grandes campanhas de spam atualmente entregando o TrickBot aos contribuintes. Cada campanha envia mensagens de e-mail de spam em nome de uma empresa respeitável operando no setor financeiro, de RH ou de contabilidade.
Índice
A Primeira Onda de Spam Foi Lançada no Final de Janeiro
A primeira grande campanha apareceu no radar por volta de 27 de janeiro, quando hackers começaram a enviar e-mails suspeitos encaminhados em nome de uma empresa de contabilidade famosa. Todos os e-mails compartilhavam a mesma linha de assunto - FW: 2018 Faturamento Incentivo Fiscal - e solicitavam aos destinatários que clicassem em um documento Excel anexado com o mesmo nome. Em vez de divulgar dados de incentivo fiscal reais quando aberto, no entanto, o arquivo incorporado acionaria uma infecção do TrickBot por meio das macros maliciosas contidas nele. A assinatura de cada e-mail foi detalhada o suficiente para parecer legítima.
A Segunda Onda de Spam Se Aproveitou do Provedor de Serviços de RH da ADP
A campanha de spam espalhando o Trojan bancário TrickBot visava clientes da ADP, um grande provedor de serviços de RH, de acordo com um alerta oficial publicado pelos funcionários da empresa. Assim, os agentes de malware usavam contas de e-mail falsificadas do ADP para enganar os destinatários, fazendo-os clicar em um URL infectado por malware, supostamente contendo informações importantes sobre seus registros de cobrança de impostos. Essas contas falsas têm:
- Um padrão de nome idêntico - <[Nome do funcionário]noreply@adpnote.com>
- Um assunto de email uniforme, nomeadamente FW:CASE#90ADP28TEFT - registos de facturação de impostos
- Um link malicioso invariável - 90ADP0304TEFT.xlsm
A ADP já resolveu o problema, instando os clientes a encaminhar essas mensagens recebidas para um e-mail de prevenção de fraude dedicado para análise.
A Terceira Onda de Spam Explorou o Nome do Paychex
A terceira campanha de spam proeminente começou no início de março, quando os clientes do renomado provedor de pagamento de folhas de pagamento da Paychex começaram a receber respostas por e-mail a consultas que não haviam enviado em primeiro lugar. Intitulado RE: documentos de verificação fiscal, o e-mail serviu para fornecer ao destinatário um arquivo anexado contendo os dados que o último havia solicitado anteriormente. Embora o anexo parecesse um documento legítimo do Word, como era chamado de Verification_Documents.doc, a abertura do mesmo instalaria o TrickBot Trojan não apenas no PC de destino, mas também em qualquer outro computador conectado à rede.
Os Ataques do TrickBot estão ficando Mais Elaborados
Ao contrário das campanhas anteriores de distribuição de malware, as três operações maliciosas mencionadas acima parecem tão legítimas quanto possível. Embora falsos, os e-mails que transportam o Trojan bancário TrickBot parecem ter vindo de empresas reais com domínios registrados reais e funcionários reais. Em outras palavras, é evidente que os agentes de malware responsáveis dominam a técnica de spear phishing. Além disso, como todas as três campanhas compartilhavam um layout semelhante, dificilmente surpreenderia se elas viessem do mesmo grupo de cibercriminosos.