A Unit 42, unidade de pesquisa da Palo Alto Networks, identificou uma campanha de ataques que sequestra e-mails reais para espalhar malware. Chamada deFreeMilk, a investida dos cibercriminosos usa uma nova técnica de phishing, uma das fraudes mais comuns da internet que envia milhares ou até mesmo milhões de e-mails falsos.

 

 

Como funciona o ataque

No phishing, não há um alvo determinado, o criminoso distribui o máximo de e-mails que conseguir e espera até que alguém morda a "isca" – daí seu nome, que significa "pescar" em inglês. Para alvos mais específicos, e-mails especiais são produzidos pelos criminosos, que estudam a vítima e enviam uma mensagem elaborada, como por exemplo, um e-mail direcionado ao RH de uma empresa com o criminoso se passando por um candidato a uma vaga anunciada ou até mesmo usando credenciais roubadas de um fornecedor externo e enviando um orçamento falso. Este ataque direcionado se chama spear phishing (do inglês "pesca com arpão")

No caso da campanha descoberta pelos pesquisadores da Palo Alto Networks é utilizada uma técnica ainda mais avançada de spear phishing. No FreeMilk não é criada uma mensagem falsa, mas sim é feita a interceptação de um e-mail verdadeiro. De posse da conversa original, o criminoso envia um anexo com conteúdo malicioso que pode hospedar os mais variados tipos de malware.

Desde maio deste ano, a campanha visa alvos específicos, como CEO´s, funcionários ligados a diretoria das companhias, como assistentes de executivos, amigos destas pessoas e até mesmo seus familiares. A Unit 42 identificou os seguintes alvos: um banco no Oriente Médio, uma empresa de serviços de propriedade intelectual na Europa, uma organização internacional de esportes e indivíduos ligados indiretamente com um país do nordeste da Ásia.

A Palo Alto Networks batizou a campanha "FreeMilk" após identificar as palavras em um dos malware utilizados pelos criminosos.

Solução

A Unit 42 observou que este ataque específico se aproveita de uma vulnerabilidade do Microsoft Office – a empresa já foi informada e desenvolveu uma correção. Para proteger-se contra o FreeMilk e ataques similares, os pesquisadores da Palo Alto Networks recomendam sempre atualizar os sistemas e dispositivos com os pacotes de segurança mais recentes disponibilizados pelas fabricantes de software.

Além disso, um projeto com várias camadas de segurança para dispositivos e redes oferecem proteção adicional para prevenção desses tipos de ataques. Por exemplo, a autenticação multi-fator impedirá um invasor de utilizar credenciais roubadas, bloqueando sua capacidade de acessar uma conta de e-mail e concluir com êxito a campanha de ataque FreeMilk.

Para mais informações sobre visite:

researchcenter.paloaltonetworks.com/2017/10/unit42-freemilk-highly-targeted-spear-phishing-campaign/