Desta vez, a ameaça utiliza de serviços legítimos com mensagens que intimidam vítima
São Paulo, junho de 2016 – Após aparente inatividade do DRIDEX – malware de ameaça aos bancos online, durante o começo deste ano, a Trend Micro – empresa especializada na defesa de ameaças digitais e segurança na era da nuvem – observou um aumento repentino em uma campanha de e-mails de spam que afetou principalmente usuários nos Estados Unidos, Brasil, China, Alemanha e Japão.
Existem diferenças significativas desta campanha em particular em relação às aplicadas anteriormente. Em vez das habituais faturas ou notificações falsas usadas como isca, o DRIDEX brinca com o medo das pessoas em terem suas contas comprometidas. Além da mudança nos assuntos de e-mail e do uso macro, o golpe utiliza o Certutil, um programa da Microsoft que configura serviços de certificado, faz backup e restaura componentes da autoridade de certificação para passar a ameaça como um certificado legítimo. Estes dois elementos combinados (uso de macros e do Certutil) podem aumentar a prevalência de DRIDEX e representar desafios para a detecção.
Lucrando com o Medo
A Trend Micro analisou uma mensagem de e-mail que tem como assunto, Conta Comprometida e contém detalhes da suposta tentativa de acesso, incluindo o endereço IP para fazer com que pareça legítimo. No entanto, uma brecha foi encontrada. A mensagem não tem qualquer informação sobre que tipo de conta (e-mail, banco, contas de mídia social, etc.) está comprometida. Este tipo de notificação normalmente menciona o tipo de conta que um usuário remoto tenta acessar.
Os cibercriminosos talvez, estejam apostando em táticas de intimidação para fazer com que as pessoas abram o arquivo ZIP em anexo, que supostamente tem o relatório completo. Se a vítima for levada a abrir o documento, verá um arquivo em branco instruindo-o a habilitar as funções macro. Isto, é claro, vai iniciar a cadeia de infecção do DRIDEX no sistema.
Com base na pesquisa elaborada pela Trend Micro, o spam executado com o DRIDEX é semelhante ao Locky ransomware com o uso de macros e templates de e-mail idênticos.
Potencializando o Certutil
Em relação aos spams ligados aos ransomwares, é engano imaginar que o DRIDEX perdeu a sua visibilidade no cenário de ameaças. Com as suas novas táticas, como o uso de Certutil e de arquivos Personal Information Exchange (.PFX), um tipo de arquivo usado pelos softwares de certificados que armazena chaves públicas e privadas, o DRIDEX pode recuperar o seu lugar novamente como a principal ameaça de banking online.
Uma vez que o arquivo é baixado no formato PFX, isso evita a detecção do DRIDEX e o uso de macros permite que ocorrências similares passem desapercebidas pelas tecnologias de sandbox. Isto é uma indicação clara de que o DRIDEX está se nivelando para permanecer como a ameaça prevalente de online banking.
O que os usuários e as organizações podem fazer?
Apesar da prevalência da ameaça, os usuários e organizações podem tomar algumas medidas preventivas simples, como não abrir anexos e não habilitar macros quando receber e-mails de fontes desconhecidas. A Trend Micro aconselha que quando o indivíduo receba e-mails sobre contas comprometidas, primeiro confira e verifique a fonte.
As empresas podem também criar políticas que bloqueie e-mail com anexos de fontes desconhecidas. Também é recomendado que organizações eduquem seus funcionários sobre este tipo de ameaça. As soluções de endpoint da Trend Micro, como o Trend Micro™ Security, Smart Protection Suitese o Worry-Free™Business Security podem proteger os usuários e as SMBs contra esta ameaça por meio da detecção de arquivos maliciosos e mensagens de e-mails com spam, bem como bloqueio de todas as URLs maliciosas relacionadas.
O Trend Micro Deep Discovery que tem uma camada de inspeção e-mail, pode proteger as empresas, detectando anexos e URLs maliciosas. Como tal, ele pode evitar que os sistemas sejam infectados com DRIDEX.
Sobre a Trend Micro:
A Trend Micro Incorporated, líder global em segurança em nuvem, proporciona a empresas e consumidores um mundo seguro para a troca de informações digitais, por meio da segurança para conteúdo na internet e gerenciamento de ameaças. Com mais de 20 anos de experiência, a empresa é pioneira em segurança para servidor. Nós oferecemos segurança altamente conceituada, baseada em cliente, servidor e em nuvem, que atende às necessidades de nossos consumidores e parceiros, impede ameaças mais rápido e protege dados em ambientes físicos, virtualizados e em nuvem. Potencializados pela infraestrutura Trend Micro™ SmartProtection Network™, nossos produtos, serviços e segurança, líderes na indústria de cloud-computing, impedem a ação de ameaças de onde quer que elas surjam, na internet, com o apoio de mais de 1.200 especialistas em inteligência de ameaças em todo o mundo. Para informações adicionais, visite www.trendmicro.com.