Mais um método de phishing foi identificado recentemente. Nele, os criminosos fingem ser de algum hospital local, informando aos destinatários do email que eles foram expostos ao novo coronavírus e precisam ser testados.

Os cibercriminosos tentam tirar proveito da pandemia de Covid-19, que já afeta praticamente todos os países do mundo. Usando o medo e a ansiedade gerada pela doença, os autores dessas ameaças surgem para assustar as pessoas e fazê-las abrir arquivos maliciosos.

Na nova armadilha, o criminoso informa ao destinatário que ele deve fazer um teste do novo coronavírus, porque entrou em contato com um colega, amigo ou parente que testou positivo para Covid-19. Além disso, é pedido à vítima que imprima o anexo EmergencyContact.xlsm contido no email e o leve à unidade de saúde mais próxima para a realização do exame.

Reprodução

O email, visto pela primeira vez no Canadá, vem acompanhado do seguinte texto:

“Querido (nome do destinatário)

Você recentemente entrou em contato com um colega/amigo/membro da família que contraiu COVID-19 em Taber, Alberta (cidade da província canadense de Alberta), por favor imprima o formulário anexo que contém suas informações preenchidas previamente e proceda para a clínica de emergência mais próxima.

 

Maria (sobrenome)

The Ottawa Hospital General Campus

501 Smyth Rd, Ottawa, ON K1H 8L6, Canadá”

Quando o usuário abre o arquivo anexado, ele é solicitado a “Ativar Conteúdo” para visualizar o documento protegido. Caso o usuário assim o faça, macros maliciosas serão executadas a fim de baixar um malware executável (msiexec.exe) no computador e iniciá-lo.

Reprodução

O malware então injeta inúmeros processos no arquivo legítimo do Windows. Isso é feito para ocultar sua presença e potencialmente evitar a detecção por programas antivírus.

De acordo com análise do BleepingComputer, o malware executava o seguinte comportamento:

  • Obtém uma lista dos programas em execução no computador;
  • Pesquisa e possivelmente rouba carteiras de criptomoedas;
  • Obtém informações do endereço IP local configuradas no computador;
  • Rouba cookies do navegador da web, os quais podem permitir aos invasores fazerem login em sites com sua conta;
  • Procura compartilhamentos abertos na rede com o comando net view/all/domain.

Em um momento como esse, é importante que todos sejam muito cuidadosos com informações que recebem relacionadas ao coronavírus, além de evitar abrir anexos sem antes verificar a sua veracidade.

Para evitar ser vítima desse golpe, sempre questione a veracidade da mensagem recebida. Procure o remetente, ligue e confirme se o email e as informações são reais. Caso você esteja procurando as informações mais recentes sobre a pandemia, visite sites de confiança, como portais de notícias ou o site da OMS.

Via: BleepingComputer