Trapaceiros Exploram Atentados na Maratona de Boston para Espalhar Ataques de Malware

Os infelizes eventos de bombardeio ocorridos durante a Maratona de Boston são realmente uma tragédia, que os golpistas já exploraram para ajudar campanhas criativas de malware, espalhando vários tipos de ameaças.

É quase esperado, como se este mundo não tivesse pessoas cruéis o suficiente, que hackers e criminosos virtuais procurassem tragédias popularizadas e notícias de eventos para explorar, para que pudessem ter uma base para espalhar malware. O último golpe online relacionado aos atentados à Maratona de Boston é aquele que está usando o assunto do evento desastroso para preencher os cabeçalhos de uma em cada cinco mensagens de spam.

Não foram necessários golpistas, mas algumas horas após o incidente começaram a explorar os usuários por meio de campanhas agressivas de spam, espalhando e-mails com linhas de assunto relacionadas à explosão de Boston. Muitos dos assuntos para essas mensagens de spam estranhas são "Rescaldo à Explosão na Maratona de Boston" e "Explosão de Boston Capturada em Vídeo".

Obviamente, com a curiosidade das pessoas hoje em dia e a probabilidade de as notícias se espalharem em segundos de uma tragédia nas plataformas de redes sociais, os usuários de computador podem clicar em links sem pensar duas vezes ou pensar na probabilidade potencial de tal link ser atado malware. Sem mencionar que tais mensagens de spam relacionadas a tragédias como os atentados a bomba em Boston são propensas a aparecer no Facebook e no Twitter. Não há nada que impeça os hackers de explorarem o mesmo assunto no amplo estágio da rede social, além de espalhar mensagens de spam maliciosas.

Parece que foi apenas outro dia que hackers estavam explorando as notícias do Vaticano inaugurando um novo papa. Na época, houve uma série de ataques de malware espalhados por meio de mensagens de spam com temas do Papa. Além disso, hackers assumiram a responsabilidade de criar uma falsa conta do Papa no Twitter para potencialmente causar estragos ao compartilhar links maliciosos. Muitas vezes, os hackers também atacam os resultados dos mecanismos de pesquisa com sites maliciosos relacionados a um evento tão popular. A imagem na Figura 1 abaixo mostra como o tráfego de busca pelos atentados à Maratona de Boston disparou nos últimos dias, dando aos hackers uma abundância de pessoas pesquisando na Internet por qualquer vestígio de novas notícias ou mídias em torno desses eventos trágicos.

figura 1. - Google Trends para as palavras-chave de bombardeio da Maratona de Boston em constante aumento

Abaixo está uma lista dos principais termos relacionados a 'Boston Marathon Bombing' e assuntos de spam que você pode querer ter cuidado ao realizar buscas na Internet ou abrir e-mails devido a hackers os atacarem com malware.

• 2 explosões na maratona de Boston
• Explosão de Boston pegou em vídeo
• QUEBRANDO - Explosão da Maratona de Boston
• Rescaldo à explosão na Maratona de Boston
• Explosões na Maratona de Boston
• Explosão na Maratona de Boston
• Explosões na Maratona de Boston
• Explosão na Maratona de Boston
• Vídeo de Explosão na Maratona de Boston 2013

O malware foi identificado como

Uma das principais campanhas de spam que espalham os emails 'Boston Marathon Explosion' vem com um ladrão de senhas chamado Trojan.GenericKDZ.14575, identificado pelo Bitdefender. Esse Trojan específico é um componente do pacote de exploração do navegador RedKit, a mesma ameaça usada em um ataque contra usuários a um site da NBC invadido em fevereiro deste ano.

Houve relatos de pesquisadores descobrindo muitas dessas mensagens de spam relacionadas aos bombardeios de Boston como tendo links que instalam outras formas de malware saindo da carpintaria. Alguns desses malwares foram identificados como cavalos de Tróia similares, Packed.Generic.402 e Tepfer-Q, conhecidos por carregar os seguintes arquivos:

• \drivers\npf.sys
• \Packet.dll
• \wpcap.dll
• boston.avi _______.exe

Outra ameaça emergente, que também explora os ataques à Maratona de Boston, é um worm malicioso identificado como WORM_KELIHOS.NB. Esse worm em particular é responsável por ocultar diretórios em unidades removíveis com o comando C:\WINDOWS\system32\cmd.exe F/c "start %cd%\game.exe."

A imagem na Figura 2 abaixo é um exemplo de um site redirecionado e pop-up de download de arquivo de um link malicioso em uma mensagem de spam recente com uma linha de assunto de atentado à Maratona de Boston que afirmava oferecer um vídeo dos incidentes.

Figura 2 - Redirecionamento de sites maliciosos e download de arquivos do Redirecionamento de mensagens de spam do Boston Marathon Bombing redirect - source: dataprotectioncenter.com

A ameaça Trojan.GenericKDZ.14575 é conhecida por furtar dados, onde é suscetível a roubar senhas e obter dados de contas online de usuários diretamente de aplicativos de navegadores da web. Verificou-se também que o roubo de dados subjacente monitora o tráfego de rede, portanto, pode direcionar informações sobre a carteira de Bitcoin, fazer o download de malware e enviar e-mails aleatoriamente.

Como você deve saber, quando um hacker está armado com os dados pessoais apropriados ou informações de login da conta on-line, pode-se facilmente sucumbir ao roubo de identidade ou roubo de dinheiro de uma conta bancária on-line. As possibilidades são virtualmente infinitas quando tal ameaça é iniciada. Basta pensar que todo o processo de roubo de dados a partir da infecção por Trojan.GenericKDZ.14575 se propaga de uma mensagem de e-mail relacionada ao bombardeio da Maratona de Boston.

Deixe que isso seja um aviso claro para todos nós usarmos extrema cautela ao abrir ou carregar mensagens de e-mail relacionadas a notícias ou tragédias populares. Apesar de estarmos todos ansiosos para ficar a par dos últimos acontecimentos e atualizações sobre os atentados a bomba na Maratona de Boston, devemos também evitar começar nossa própria tragédia na forma de um trojan malicioso que rouba nossos dados pessoais.