Atacantes se passam por representantes da Noruega na Organização das Nações Unidas (ONU) para enviar um e-mail com suposto contrato, mas que na verdade é um ataque de phishing. O Bleeping Computer informou esta semana que a empresa de segurança Cofense descobriu a campanha de phishing com segmentação altamente específica, enviada para 600 endereços de email exclusivos na ONU. Os atacantes são operadores do ransomware Emotet.
O e-mail falso informa que os representantes da Noruega encontraram um problema com um contrato assinado e que o destinatário deve analisá-lo para descobrir o problema. Anexado a esses e-mails está um documento do Microsoft Word que imita um contrato assinado que supostamente enviado pela Missão Permanente da Noruega. Ao abrir o documento, há um aviso de que ele está disponível apenas para versões de desktop ou laptop do Microsoft Office Word. Em seguida, é solicitado ao usuário que clique em 'Ativar edição' ou 'Ativar conteúdo' para visualizar o documento. Se o usuário abrir o documento e ativar seu conteúdo, serão executadas macros maliciosas do Word que baixam e instalam o Emotet no computador.
O efeito é devastador: o Emotet pode instalar outros payloads, como o trojan TrickBot, que tentará coletar dados do computador, cookies, credenciais de login, arquivos do computador e possivelmente se espalhar para outros computadores na rede. Após a coleta de informações, o TrickBot é conhecido por abrir um shell reverso aos operadores do ransomware Ryuk, e assim criptografar todos os dispositivos da rede.
Felizmente, não houve vítimas deste ataque, mas é um alerta para grandes organizações se protegerem – e para que usuários sempre verifiquem o remetente antes de abrir um e-mail.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.