Há uma nova campanha maliciosa que está a afetar diversos sectores em países como Portugal, Espanha e Itália. Identificada pela equipa da FortiMail IR, a campanha propaga-se por email e explora serviços legítimos, como o Google Drive, Dropbox e MediaFire, para disfarçar os seus verdadeiros objetivos e facilitar a propagação de malware.

De acordo com os investigadores, tudo começa com um email aparentemente legítimo, proveniente de um serviço de correio eletrónico autorizado a enviar em nome de vários domínios, que passa com sucesso nos testes de SPF (Sender Policy Framework), não levantando suspeitas nos filtros de spam ou phishing.

Clique nas imagens para ver com mais detalhe

O assunto e conteúdo do email apelam à urgência, pedindo às vítimas que verifiquem duas faturas. O anexo em PDF apresenta problemas de visualização, redirecionando para um ficheiro HTML com instruções para um download adicional, que inclui uma simulação de verificação CAPTCHA.

A partir deste ponto, as vítimas são levadas a um link que simula um acesso legítimo, mas que acaba por conduzir ao ficheiro malicioso. Para contornar os mecanismos de segurança dos serviços de correio eletrónico, os atacantes geram URLs dinamicamente, recorrendo também a táticas de “camuflagem” geográfica que permitem apresentar conteúdos diferentes consoante a localização.

Neste caso, apenas os utilizadores localizados nos países-alvs recebem o ficheiro malicioso. Já aqueles que se encontram fora destas regiões são redirecionados para páginas inofensivas.

Os atacantes usam o nome e imagem do grupo Medinova como “isco”, apresentando faturas falsas com um aspecto aparentemente legítimo. Segundo a equipa, as faturas são partilhadas através do Google Drive para reduzir a probabilidade de levantar suspeitas.

Fortinet | Campanha de emails maliciosos
Fortinet | Campanha de emails maliciosos Exemplo de email que usa a imagem do grupo Medinova. créditos: Fortinet

No entanto, quando o pedido é originário de Itália, o URL muda completamente, levando ao download de um ficheiro JAR, indicam os investigadores. Este ficheiro é, na verdade, um Trojan de Acesso Remoto (Remote Access Trojan, ou RAT em inglês), capaz de operar em diferentes sistemas operativos e de fazer capturas de ecrã, registar que teclas são usadas e de roubar dados sensíveis.

Note-se que, até à data, os investigadores não associam esta campanha à exploração de determinadas vulnerabilidades, sem referência a CVE específicos, mas sim ao uso abusivo de serviços legítimos, combinado com táticas de engenharia social, para propagar malware.

A prevenção continua a ser a melhor proteção e para evitar esta ameaça, os especialistas da Fortinet recomendam às organizações que reforcem os mecanismos de segurança a nível do correio eletrónico, mas também que implementem soluções avançadas de deteção e resposta e apostem na formação contínua dos seus colaboradores.

As conclusões da investigação realizada pela Fortinet podem ser consultadas aqui

Nota de redação: A notícia foi atualizada com mais informação acerca da investigação da Fortinet. (Última atualização: 10h58)