Mais um método de phishing foi identificado recentemente. Nele, os criminosos fingem ser de algum hospital local, informando aos destinatários do email que eles foram expostos ao novo coronavírus e precisam ser testados.
Os cibercriminosos tentam tirar proveito da pandemia de Covid-19 , que já afeta praticamente todos os países do mundo. Usando o medo e a ansiedade gerada pela doença, os autores dessas ameaças surgem para assustar as pessoas e fazê-las abrir arquivos maliciosos .
Leia também: Cuidado! Golpes sobre coronavírus no WhatsApp já atingem mais de 2 mi de pessoas
Na nova armadilha, o criminoso informa ao destinatário que ele deve fazer um teste do novo coronavírus , porque entrou em contato com um colega, amigo ou parente que testou positivo para Covid-19 . Além disso, é pedido à vítima que imprima o anexo EmergencyContact.xlsm contido no email e o leve à unidade de saúde mais próxima para a realização do exame.
O email , visto pela primeira vez no Canadá, vem acompanhado do seguinte texto:
"Querido (nome do destinatário)
Você recentemente entrou em contato com um colega/amigo/membro da família que contraiu COVID-19 em Taber, Alberta (cidade da província canadense de Alberta), por favor imprima o formulário anexo que contém suas informações preenchidas previamente e proceda para a clínica de emergência mais próxima.
Você viu?
Maria (sobrenome)
The Ottawa Hospital General Campus
501 Smyth Rd, Ottawa, ON K1H 8L6, Canadá"
Leia também: Conheça os golpes mais comuns no WhatsApp e aprenda a se defender
Como funciona o ataque
Quando o usuário abre o arquivo anexado, ele é solicitado a "Ativar Conteúdo" para visualizar o documento protegido
. Caso o usuário assim o faça, macros maliciosas serão executadas a fim de baixar um malware
executável (msiexec.exe) no computador e iniciá-lo.
O malware então injeta inúmeros processos no arquivo legítimo do Windows . Isso é feito para ocultar sua presença e potencialmente evitar a detecção por programas antivírus .
De acordo com análise do BleepingComputer , o malware executava o seguinte comportamento:
- Obtém uma lista dos programas em execução no computador;
- Pesquisa e possivelmente rouba carteiras de criptomoedas ;
- Obtém informações do endereço IP local configuradas no computador;
- Rouba cookies do navegador da web, os quais podem permitir aos invasores fazerem login em sites com sua conta;
- Procura compartilhamentos abertos na rede com o comando net view/all/domain.
Leia também: Recebeu uma ligação do seu próprio número? Não atenda
Em um momento como esse, é importante que todos sejam muito cuidadosos com informações que recebem relacionadas ao coronavírus , além de evitar abrir anexos sem antes verificar a sua veracidade.
Para evitar ser vítima desse golpe, sempre questione a veracidade da mensagem recebida. Procure o remetente, ligue e confirme se o email e as informações são reais. Caso você esteja procurando as informações mais recentes sobre a pandemia, visite sites de confiança, como portais de notícias ou o site da OMS .