Poucos meses depois do caso do desaparecimento do avião que fazia o voo 370, da Malásia Airlines, o mundo ficou chocado novamente com a trágica notícia da queda do Malaysian Airlines 777 (também conhecido como MH17), sobre a Ucrânia, que matou cerca de 300 passageiros e tripulantes. Tal como aconteceu com o incidente assado, os cibercriminosos foram rápidos para aproveitar o momento da tragédia que ocorreu no dia 17 de julho de 2014.
Durante uma investigação, a Trend Micro – líder mundial em soluções de segurança na era da nuvem – descobriu que, apenas algumas horas depois da Malaysian Airline twittar que perdeu o contato com o avião quando o mesmo estava sobre Amsterdã, já havia algumas postagens suspeitas no Twitter.
Figura 1: Printscreen de tweet apontando domínios maliciosos
Parece que as URLs são usadas em um tipo de Spam, que reúne os tópicos/ hashtags mais falados sobre o tema, de forma que os mesmos possam ser facilmente pesquisados pelos usuários. Uma vez clicado, sua contagem de URL aumenta. O URLs .TK decifra os seguintes IPs:
- 72[dot]8[dot]190[dot]126
- 72[dot]8[dot]190[dot]39
Com base na análise da Trend Micro, os dois IPs são originários dos EUA, mas são mapeados para vários domínios. Alguns desses domínios são maliciosos, enquanto outros são domínios legítimos normais de hospedagem de blogs. É provável que este spam seja usado para ganhar visualizações e visitas de página em sites ou anúncios.
Por outro lado, os domínios maliciosos associados com estes IPs estão ligados a uma variante do ZeuS detectada como TSPY_ZBOT.VUH e malware SALITY. O ZeuS/ ZBOT é conhecido como ladrão de informação, enquanto a PE_SALITY é uma família de malware com arquivos que infectam documentos .EXE e SCR. Uma vez que os sistemas estão contaminados, o malware pode abrir seus sistemas para outras infecções e, assim, comprometer a segurança do usuário.
Os cibercriminosos sempre surfam na onda de notícias e incidentes trágicos. No passado, foram vistos vários golpes e ameaças que alavancaram a notícia do tufão Haiyan, a explosão na maratona de Boston, o tsunami e o terremoto no Japão em 2011, entre outros. A previsão é que, assim que mais detalhes do acidente MH17 sejam descobertos, os criminosos lancem outros ataques que podem, eventualmente, levar ao roubo de informações pessoais e de infecção do sistema. É altamente recomendado que os usuários se mantenham atentos a ameaças que possam alavancar esta notícia. A Trend Micro protege os usuários de tais ameaças, por meio da sua Smart Protection Network, que bloqueia todas as URLs relacionadas como maliciosas e detecta arquivos maliciosos.
Sobre a Trend Micro
Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo.