Campanha brasileira de spam com tema do Windows 10 é destaque entre os golpes que utilizam esta técnica
Velhos truques nunca morrem, e os cibercriminosos sabem disso. Recentemente, a Kaspersky Lab identificou uma grande onda de ataques usando arquivos .VBE sendo disseminados por mensagens de e-mail e atingindo usuários brasileiros. A maioria dos arquivos solicita a realização de um download e, após sua execução, instala uma série de programas maliciosos no computador da vítima, como trojans bancários, RATs (remote admin tool) e em alguns casos, malware que altera boletos bancários.
Arquivos .VBE (VBScript Encoded) são scripts executados pelo Windows Script Host, assim como arquivos .JS (Javascript) e .VBS (Visual Basic Script), que podem ser usados para baixar programas de um site da internet, executá-los, fazer alterações profundas no sistema, entre outros comandos. São potencialmente maliciosos e há muito tempo várias pragas tem usado esse formato para se disseminar, especialmente worms de rede.
Segundo Fabio Assolini, analista sênior de malware da Kaspersky Lab, os cibercriminosos brasileiros gostam de usar extensões executáveis pouco conhecidas em seus ataques, como o formato .CPL, que há muitos anos tem sido usado nesse ataques, pois muitos internautas não sabem do potencial malicioso presente nesses arquivos.
“O ataque começa com mensagens de e-mail (exemplo abaixo) com um arquivo .ZIP anexado. Algumas delas possuem apenas um link para descarregar o arquivo .VBE, usando uma variedade de temas, como por exemplo, o lançamento do Windows 10 (mais detalhes abaixo). O arquivo é bem pequeno (menos de 1 KB), mas dentro está o perigo, o arquivo VBE”, explica o analista brasileiro.
Essa mensagem foi enviada para o serviço “Malicioso”, contribua você também!
Para Assolini é interessante ver que mesmo após anos de ataques e abuso de arquivos .VBS, provedores de e-mail ainda aceitam arquivos executáveis de script anexos as mensagens. “Os golpistas só precisam colocar o arquivo malicioso dentro de um .ZIP ou .RAR e magicamente a mensagem maliciosa chegará até a caixa de entrada do usuário”.
Normalmente esse golpe utiliza arquivos maliciosos codificados para tentar burlar a detecção de produtos antivírus. Após sua decodificação, a Kaspersky Lab conseguiu identificar a real intenção dos cibercriminosos: instalar um programa para alterar boletos bancários.
Toda a família de malware que utiliza arquivos .VBE maliciosos são detectados pelos produtos da empresa, que recentemente registrou um aumento considerável em sua detecção. “O grupo de Trojan-Downloader.VBS.Agent atingiu mais de 4 mil detecções e verificamos também mais de 12 mil tentativas de infecção do Trojan-Downloader.VBS.Banload em apenas um dia”, afirma o analista brasileiro.
Campanha brasileira de spam utiliza atualização do Windows 10 para roubar senhas e dados financeiros de suas vítimas. Veja como se proteger!
Aproveitando a repercussão da campanha da Microsoft para migrar seus usuários para o novo Windows 10, cibercriminosos estão disseminando golpes que utilizam arquivos maliciosos .VBE para infectar as vítimas com trojans espiões. O ataque, identificado no Brasil pela Kaspersky Lab, é disseminado por spam e promete o download imediato do novo sistema operacional.
Para não levantar suspeita, o design da janela que mostra o progresso do carregamento é idêntico ao do site oficial da empresa. Uma vez executado, é feito o download do componente principal do trojan espião, que irá roubar os dados digitados no teclado e as informações armazenadas na área de transferência. O programa malicioso também tem backdoors que permitem executar sessões remotas.
“Este golpe tem a capacidade de roubar qualquer tipo de credenciais, como senhas de Internet Banking e redes sociais e números de cartão de crédito”, explica Dmitry Bestuzhev, diretor da equipe de pesquisadores e análistas da Kaspersky Lab na América Latina. “Até agora só detectamos ataques no Brasil, mas sabemos que as operações desses cibercriminosos que usam o script VBE se expantem para o resto do mundo, principalmente para os países da península Ibérica. É importante estar ciente dessa tática enganosa, pois a campanha pode ser replicada nos países vizinhos a qualquer momento”, alerta.
Confia as dicas da Kaspersky Lab para não cair neste tipo de golpe:
You must be logged in to post a comment.