Muitas campanhas maliciosas têm exclusivamente o intuito de obter informações sobre suas vítimas, como foi o caso do phishing que se fez passar pelas Americanas.com. Mas em uma nova campanha do mesmo tipo, criminosos foram além e tentaram propagar o malware Vadokrist se passando pelos Correios. A ESET explica o caso e fornece dicas para identificar e se proteger desse tipo de golpe.
Essa nova tentativa de roubar informações se propaga via phishing e informa a vítima de que uma suposta encomenda tentou ser entregue via Sedex, mas o destinatário estava ausente e, por isso, o pacote retornou ao centro de distribuição. Segundo orientações destacadas no e-mail, para que a vítima possa retirar a suposta encomenda, é necessário baixar, preencher o formulário e levá-lo à central de distribuição junto com os documentos solicitados.
O link disponível leva a vítima a um site muito similar ao próprio e-mail. A página inicia um download imediatamente, assim que acessada.
Caso a janela de download seja encerrada, é possível perceber que o site é falso, já que as partes superior e inferior do site são duas imagens, não existe nada além do link de download disponível para que a vítima acesse. Isso faz com que seja bem mais simples de identificar que se trata de uma ameaça. Qualquer site legítimo, seja dos Correios ou de qualquer outra empresa, sempre terá diversos links disponíveis para que seus usuários naveguem por todas as opções que ele tem a oferecer.
Além dessa cópia grosseira feita com simples imagens, um outro indicativo de que se trata de uma ameaça é a URL da página que a vítima acessa, que é bem diferente do site dos Correios.
O Vadokrist (malware disseminado por meio dessa campanha) é um malware bancário já examinado pela ESET. Caso você ainda não conheça ameaças do tipo trojan bancário, uma de suas principais características é ser silenciosa. A ameaça se oculta no sistema e espera que a vítima faça algum tipo de interação com os bancos que são alvos dos cibercriminosos. Assim que a interação acontece, por exemplo, quando a vítima abre o site/app do banco para realizar alguma operação, a ameaça começa suas atividades de captura de informações, que podem acontecer de diversas formas, dentre elas exibindo formulários falsos semelhantes aos usados pela instituição bancária para que a vítima preencha seus dados, mas os recursos são cada vez mais variados e com certeza não se limitam a simples exibições de tela.
Para evitar esses e outros tipos de ameaças, a ESET dá dicas de segurança que se encaixam bem nesse cenário:
• Tenha atenção: Atentar-se a URL sugerida pelo e-mail, seja passando o mouse em cima do link ou olhando na barra de endereços do navegador é uma ótima medida de prevenção, elas sempre serão diferentes do site verdadeiro pertencente a empresa que os criminosos estão tentando forjar. Algumas ameaças conseguem causar danos as vítimas pelo simples fato de abrirem determinada URL.
• Desconfie: Estamos em período de pandemia, o que significa que boa parte das pessoas estão em casa, ou seja, seria muito difícil que alguma entrega chegasse sem que fosse notada. Se uma entrega realmente não pode ser feita e é necessário retirá-la nos Correios, o site oficial da empresa informa os meios adequados para que isso seja feito e certamente não exige um formulário exclusivo enviado por e-mail.
• Atente-se ao que é proposto: Algumas campanhas maliciosas, não se preocupam em esconder seus intuitos. A campanha dizia ser necessário preencher um formulário, mas fornecia um arquivo de instalação de software. Isso já traz fortes indícios de que se trata de uma fraude. Não baixe arquivos apenas porque uma mensagem te pede para fazê-lo.
• Proteja-se: Esse é um exemplo clássico de propagação de malware, para que a vítima não fosse infectada pela ameaça o dispositivo em que o malware foi baixado precisaria estar protegido com um antivírus capaz de detectar e bloquear programas maliciosos. É recomendado que dispositivos como celulares, tablets, notebooks e computadores sejam protegidos por antivírus, algumas ameaças tentam se propagar pela rede caso não consigam infectar o host onde foram baixadas.
