O extrato eletrônico da Administração da Previdência Social está disponível. Golpe por e-mail.

Criminosos cibernéticos frequentemente usam campanhas de e-mail convincentes para enganar os destinatários e levá-los a abrir arquivos maliciosos, revelar informações confidenciais ou instalar malware. Por esse motivo, é essencial manter a cautela sempre que um e-mail inesperado chegar, especialmente quando alega conter documentos importantes ou notificações urgentes. Os e-mails com o título "Extrato eletrônico da Previdência Social disponível" são um excelente exemplo dessa tática. Essas mensagens são fraudulentas e não estão associadas a nenhuma empresa, organização, agência governamental ou entidade legítima. Seu único propósito é infectar os dispositivos das vítimas e fornecer aos invasores acesso não autorizado.

Uma análise mais detalhada do golpe

A análise dos e-mails com o título "Extrato eletrônico da Administração da Previdência Social disponível" revelou que eles fazem parte de uma campanha maliciosa de spam criada para se passar pela Administração da Previdência Social (SSA). Os e-mails informam falsamente aos destinatários que seu extrato da Previdência Social de 2026 está disponível para download.

Para dar autenticidade à mensagem, os golpistas incluem detalhes como um número de referência, uma data e um botão "Baixar extrato eletrônico" em destaque. Esses elementos visam criar uma sensação de legitimidade e incentivar os destinatários a confiar no e-mail. No entanto, a Administração da Previdência Social (Social Security Administration) não tem qualquer envolvimento com essas mensagens.

O objetivo da campanha é atrair os destinatários para que cliquem no botão fornecido, o que inicia a próxima etapa do ataque.

O Portal de Verificação Falsa

Os destinatários que clicam no botão de download são redirecionados para um site fraudulento, cuidadosamente projetado para se assemelhar a uma página oficial da SSA (Administração da Seguridade Social). Ao acessar o site, os visitantes se deparam com a mensagem "Verificação de Identidade Necessária" e são instruídos a interagir com um controle deslizante para iniciar o processo de download do documento.

Em vez de fornecer um comprovante de recebimento do Seguro Social, o site automaticamente envia um arquivo chamado 'ScreenConnect.ClientSetup.msi' para o dispositivo do visitante. O site também exibe um aviso alegando que os documentos só podem ser acessados por meio de computadores com Windows. Essa restrição é intencional, pois ajuda os atacantes a atingirem usuários do Windows e aumenta a probabilidade de o instalador malicioso funcionar corretamente.

O processo de verificação não tem nenhuma finalidade legítima e existe unicamente para fazer com que o download pareça confiável.

Como funciona o instalador malicioso

O arquivo baixado contém uma versão modificada do ScreenConnect, também conhecido como ConnectWise Control. Em circunstâncias normais, o ScreenConnect é uma ferramenta legítima de acesso remoto e suporte técnico, amplamente utilizada por profissionais e organizações de TI.

Nessa campanha, porém, o software foi alterado e configurado para estabelecer silenciosamente uma conexão com servidores controlados pelos atacantes. Uma vez instalado e executado, o aplicativo trojanizado concede aos agentes da ameaça acesso remoto e não supervisionado ao sistema comprometido.

Esse nível de acesso permite que os atacantes realizem uma ampla gama de atividades maliciosas sem o conhecimento da vítima.

Os perigos da invasão remota de sistemas

Quando invasores obtêm acesso remoto por meio de software malicioso, as consequências podem ser graves. Eles podem ser capazes de:

• Monitore as atividades da vítima e visualize tudo o que é exibido na tela.
• Roubar documentos, credenciais de login, informações bancárias e outros dados confidenciais.
• Instalar malware adicional, incluindo ransomware, spyware ou ameaças de roubo de informações.
• Manipular arquivos e configurações do sistema.
• Realizar transações financeiras não autorizadas ou abusar de contas online comprometidas.

Qualquer computador no qual o instalador malicioso do ScreenConnect tenha sido executado deve ser considerado totalmente comprometido. Medidas imediatas de resposta a incidentes são necessárias para conter a ameaça e evitar maiores danos.

Como os e-mails de spam distribuem malware

A campanha "Extrato eletrônico da Administração da Previdência Social disponível" demonstra uma estratégia comum de distribuição de malware usada por cibercriminosos. E-mails de spam maliciosos geralmente espalham malware por meio de anexos ou links incorporados.

Os anexos podem chegar em vários formatos, incluindo documentos do Microsoft Office, arquivos PDF, arquivos ZIP, arquivos executáveis e scripts. Algumas infecções por malware começam assim que o arquivo é aberto, enquanto outras exigem que os destinatários habilitem macros ou realizem ações adicionais.

Da mesma forma, links maliciosos frequentemente direcionam os usuários para sites disfarçados de portais de documentos seguros, serviços de verificação ou páginas de download. Esses sites são projetados para persuadir os visitantes a baixar e executar arquivos prejudiciais. Em alguns casos, os downloads começam automaticamente, enquanto em outros, técnicas de engenharia social são usadas para convencer as vítimas a executar o malware por conta própria.

Reconhecendo os sinais de alerta

Diversas características podem ajudar a identificar golpes dessa natureza:

• E-mails inesperados alegando que documentos governamentais, financeiros ou jurídicos importantes estão disponíveis para download imediato.

• Mensagens que criam urgência ou incentivam ações rápidas sem verificação independente.

• Links que levam a páginas de verificação antes que o acesso ao suposto documento seja concedido.

• Solicitações para baixar software a fim de visualizar documentos ou concluir procedimentos de verificação.

• Restrições incomuns, como alegações de que o conteúdo só pode ser acessado a partir de sistemas operacionais ou dispositivos específicos.

Reconhecer esses indicadores pode ajudar a prevenir a exposição acidental a malware e outras ameaças cibernéticas.

Avaliação final

A campanha de e-mail "Extrato eletrônico da Previdência Social disponível" é um esquema perigoso de distribuição de malware que se faz passar pela Previdência Social para ganhar a confiança das vítimas. Em vez de fornecer um extrato anual, o golpe redireciona os destinatários para um portal de verificação falso que baixa um instalador do ScreenConnect infectado com um trojan.

Uma vez executado, o software malicioso concede aos atacantes acesso remoto ao sistema afetado, podendo levar ao roubo de dados, comprometimento de contas, perdas financeiras e infecções adicionais por malware. Os destinatários que receberem esses e-mails devem excluí-los imediatamente e evitar clicar em links ou baixar arquivos contidos na mensagem.