A equipe de segurança digital da Microsoft descobriu que criminosos estão usando formulários de atendimento ao consumidor de companhias para infiltrar um cavalo de Troia que pode roubar informações bancárias dos usuários. Os golpistas enviam um e-mail de contato para um funcionário da companhia, dizendo que o site deles está infringindo leis de direitos autorais, por exemplo, para entregar o malware IcedID através de URLs legítimas do Google.
Os e-mails geralmente contêm uma linguagem que pressiona o funcionário para responder imediatamente. Mas o link sites.google.com enviado para que o funcionário verifique a suposta infração baixa automaticamente um arquivo ZIP contendo um arquivo JavaScript. Os arquivos baixam o malware como um arquivo .DAT, além do kit de teste de penetração Cobalt Strike, com o qual os hackers conseguem controlar o aparelho infectado pela internet.
Como o malware usa URLs do Google para enviar o link de ataque, esses e-mails falsos de contato conseguem enganar os filtros da caixa de entrada. Segundo a equipe de segurança da Microsoft, os hackers também parecem ter conseguido contornar testes de CAPTCHA usados para saber se o e-mail veio mesmo de um humano.
Ataque automatizado
“Observamos um influxo de e-mails de contato visando empreendimentos por meio de abuso de formulários de contato”, disse a Microsoft. “Isso indica que os hackers podem ter usado uma ferramenta que automatiza esse processo, enquanto contorna proteções de CAPTCHA. Como esses e-mails se originam do formulário de contato do próprio site da empresa, o modelo do e-mail combina com o que eles esperariam de uma interação real com um cliente.”
A Microsoft já alertou a equipe de segurança do Google sobre o malware com URLs google.com.
“Esses hackers estão abusando de infraestrutura legítima, como formulários de contato dos sites, para contornar proteções, o que torna essa ameaça altamente evasiva”, escreveu a Microsoft 365 Defender Threat Intelligence Team. “Além disso, os criminosos usam URLs legítimas, nesse caso URLs do Google que exigem que o alvo digite suas credenciais do Google.”
Leia também aqui no VC:
Loja ApkPure do Android infectada com Malware
Via ZDNet
Imagem: Dr StClaire / Pixabay