A um clique de distancia - Pesquisa sobre phishing

Pesquisa

A um clique de distância

Campanha de phishing atinge mais de 20 mil usuários por dia, ataques têm como objetivo a captura de dados bancários e sua propagação em massa

A equipe de Threat Intelligence da Deloitte Brasil monitorou, durante o mês de janeiro de 2020, um grupo de fraudadores especializado em propagar phishing com diferentes temas e que afetou, em média, 20 mil usuários por dia.

A técnica utilizada pelo grupo consistia em infectar a máquina da vítima, roubar credenciais de uma determinada instituição financeira e utilizá-la como ponte para infectar outros computadores por meio do envio massivo de phishing.

Durante o monitoramento, detectamos inicialmente um phishing com o tema de registro de ocorrência policial cujo objetivo era atrair a atenção da vítima para uma denúncia realizada por meio da Delegacia Virtual, induzi-la a realizar o download do registro da ocorrência e, consequentemente, infectar seu computador.

Após sua execução, dois processos eram criados no computador da vítima:

  • MyIE.exe: Responsável pela propagação por meio do envio massivo de phishing. 
  • Fightsandvictories.exe: Responsável por simular o portal de uma determinada instituição financeira e roubar dados bancários.

Ambos os arquivos estavam localizados em Local Disk (c:\temp\logs\) e estabeleceram sua persistência ao criarem entradas no registro para inicialização junto ao sistema operacional.

Como segundo estágio do ataque, o malware se conectava ao site shttp://lifesuporte.site/frank2/ListaEmails.php?blok=2121 e, a cada 60 segundos, realizava o download de 25 novas contas de e-mail; em seguida, utilizava um webmail comprometido para envio dos phishings, com temas previamente definidos pelos atacantes.

Analisando o processo MyIE.exe, detectamos que a senha utilizada para acessar o webmail foi pré-definida em seu código e é utilizada em todas as contas criadas pelo atacante dentro do servidor. Por se tratar de um servidor com características de hospedagens de sites, em um provedor referência nesse serviço, estimamos que mais de 500 domínios estejam comprometidos por esse grupo.

Coletamos em um dos servidores comprometidos a lista utilizada para propagação dos phishings, contendo cerca de 800 mil contas de e-mail cadastradas. Utilizando essas listagens de contas, os fraudadores disparavam mais de 20 mil phishings por dia.

A equipe de Threat Intelligence da Deloitte Brasil continua monitorando esse e outros grupos para, a partir disso, alertar seus clientes sobre potenciais ameaças antes mesmo que sejam afetados.

Indicadores de comprometimento

Os indicadores de comprometimento (IOCs, na sigla em inglês) são partes de dados encontrados em entradas ou arquivos de log do sistema que identificam atividades potencialmente maliciosas em um sistema ou rede. Recomendamos que os IOCs abaixo sejam monitorados e/ou bloqueados no ambiente tecnológico.

  • MD5: 398409ae01928cd79d8fb684b86f7b2c
  • SHA1: 1f09c46d3ec165559c3b0cae8df8ac5cf250659c
  • URLs: http://lifesuporte.site/                                                                                               https://webmail-seguro.com.br/

Cyber Intelligence Centre

Serviços de Operação de Segurança

O Cyber Intelligence Centre (CIC) da Deloitte é formado por uma equipe técnica altamente qualificada que opera ferramentas de segurança dos mais variados players do mercado.

O CIC conta com o suporte de uma infraestrutura dedicada de TI e ferramentas tecnológicas avançadas que permitem uma operação 24x7 para detecção e resposta a incidentes de segurança. Também possui um amplo portfólio de serviços, como: análise de malware, análise de vulnerabilidades, teste de intrusão, análise forense, cyber-simulação e cyber-exercícios.

Além de atender aos clientes locais, o CIC alimenta e recebe informações de outros CICs e CyberSOCs da Deloitte ao redor do globo.
 

Você achou útil?