Notícias e Cases

Os golpes da Black Friday estão chegando

Os golpes da Black Friday estão chegando e compradores online devem comprar com cuidado, pois hackers estão a espera.

A Black Friday, um dos maiores dias de consumo do varejo do ano, está se aproximando rapidamente. De acordo com o  Adobe Analytics , os gastos do consumidor naquele dia do ano passado alcançaram a gritante $ 9,03 bilhões de dólares (21,6% de crescimento ano a ano), e 2021 deve ser ainda maior.

O Amazon é o principal site de compras online do setor para consumidores que desejam comprar produtos a preços promocionais na Black Friday. De acordo com um blog da Amazon, as vendas da Black Friday até a Cyber ​​Monday no ano passado ultrapassaram US $ 4,8 bilhões em todo o mundo (60% de crescimento ano a ano). Dada a popularidade, o volume e o dinheiro relacionado a esse evento, os cibercriminosos não perderiam essa oportunidade lucrativa de enganar os consumidores da maneira que puderem para obter ganhos financeiros. 

Neste artigo originalmente publicado pela Fortinet, vamos ver como os cibercriminosos estão usando um gerador de cartão-presente falso da Amazon para roubar criptomoedas de suas vítimas e usando documentos falsos para induzir essas vítimas a fornecer potencialmente suas informações pessoais, como credenciais para sites de compras online, números de cartão de crédito e endereços residenciais. Os pesquisadores também verificaram um golpe semelhante que desperta grande interesse nos consoles de jogos devido à escassez global de chips.

Nada é mais caro do que grátis

Os cartões-presente legítimos costumam ser usados ​​online para comprar itens na Amazon. O FortiGuard Labs descobriu recentemente um arquivo malicioso chamado Amazon Gift Tool.exe. O arquivo foi encontrado em um arquivo zip hospedado em um site de repositório de arquivos disponível publicamente. Embora não saibam exatamente como essa ferramenta foi apresentada às vítimas em potencial, os criminosos provavelmente anunciaram a ferramenta como um gerador de vale-presente gratuito da Amazon. 

Obviamente, não existe uma ferramenta que forneça cartões-presente gratuitos, mas a esperança de conseguir algo de graça pode ser extremamente atraente para muitas pessoas. No entanto, depois que a vítima executa o gerador de cartão-presente falso da Amazon, ele cai e executa um winlogin.exe malicioso que monitora a área de transferência da vítima. O objetivo do malware é simples. Se a vítima tentar adicionar dinheiro a sua carteira anon-bitcoin copiando e colando o endereço da carteira, o malware sobrescreve o endereço da carteira da vítima na área de transferência com o seu próprio, resultando no dinheiro potencialmente indo para o invasor. O código malicioso funciona da seguinte maneira:

Como afirmado anteriormente, o malware monitora a área de transferência da vítima para quaisquer operações de copiar / colar. Quando a vítima copia qualquer dado para a área de transferência, o malware procura três critérios:

  • O texto da área de transferência tem 54 caracteres (que é o comprimento de um endereço de carteira precedido pela string “bitcoincash:”)
  • O texto da área de transferência não é “bitcoincash: <carteira do invasor>” porque não seria mais necessário substituir o endereço da carteira  
  • O texto da área de transferência contém “bitcoincash:” para garantir que o usuário esteja atualmente envolvido na tentativa de transferência de Bitcoin Cash

Se todos os três critérios corresponderem, o malware substituirá as informações da área de transferência pelo endereço da carteira do Bitcoin Cash do invasor. O invasor espera que a vítima não perceba o endereço da carteira criptografada sobrescrito quando a cola durante a transação criptografada.

Figura 1. Código para verificar o texto da área de transferência
Figura 1. Código para verificar o texto da área de transferência

A Figura 1 mostra uma parte do código do malware que pesquisa a área de transferência para possíveis endereços de carteira de criptomoeda.

O malware também define sinalizadores diferentes, dependendo do tipo de criptomoeda que está testando. Observando os critérios acima, podemos ver que o malware usa flag5 para testar o Bitcoin Cash. Se um dos três critérios não for satisfeito, o malware passa para o próximo alvo de criptomoeda, Ethereum (flag6), e verifica:

  • O texto da área de transferência tem 42 caracteres, que é o comprimento de uma carteira Ethereum
  • A área de transferência ainda NÃO é a carteira Bitcoin ou Ethereum do invasor
  • O endereço da carteira começa com “0”. Isso ocorre porque os endereços da carteira Ethereum começam com “0x”. 

Se todas as condições corresponderem, o malware substitui a área de transferência pelo endereço da carteira Ethereum do invasor.

Figura 2. Várias carteiras de criptomoedas que o invasor possui
Figura 2. Várias carteiras de criptomoedas que o invasor possui

A Figura 2 mostra algumas das carteiras de criptomoedas que o invasor possui (Bitcoin, Ethereum, Binancecoin, Litecoin, Dogecoin e Ripple) com as quais ele tenta substituir o endereço da carteira alternativa da vítima.

Os pesquisadores também descobriram que o winlogin.exe malicioso foi distribuído por vários droppers com nomes atraentes, como Crunchyroll Breaker.exe, Netflix Tools.exe, Multi Gift Tools.exe etc. pessoas por anos. Mas, dado o poder de mercado da Amazon, esse novo golpe é especialmente atraente. Os consumidores estão ansiosos para comprar o máximo que puderem na Black Friday, quando muitos produtos forem colocados à venda. Os cartões-presente gratuitos da Amazon são muito atraentes para quem quer gastar menos nas festas de fim de ano. No entanto, tenha cuidado com o que deseja e não seja vítima de golpes como este.

Phishing no console de jogos

Outro golpe que o FortiGuard Labs observou recentemente está relacionado a consoles de jogos. Com a contínua escassez global de chips, os consumidores ainda estão tendo dificuldade em colocar as mãos na próxima geração de consoles de jogos, como o PlayStation 5 e os sistemas Xbox Series X e S, que foram lançados no final do ano passado. 

Os pesquisadores do FortiGuard Labs identificaram recentemente uma série de PDFs maliciosos online, com títulos como “how_much_do_xbox_one_cost_on_black_Friday.pdf” e “Walmart_black_Friday_ps5_pickup.pdf”. A primeira página de cada PDF usa CAPTCHA para provar que o usuário é humano. O botão Continuar na mesma página não funciona como esperado porque o usuário é redirecionado para um site assim que clica na caixa de seleção CAPTCHA. 

Infelizmente para nós (e felizmente para os leitores), os sites para os quais o usuário é redirecionado não estavam mais disponíveis no momento da investigação. No entanto, com base nos dados de filtro da Web da Fortinet, os dois sites foram usados ​​para phishing. Como tal, a vítima pode ser induzida a fornecer informações confidenciais, como credenciais para sites de compras online, números de cartão de crédito e endereço residencial.

Figura 3. CAPTCHA no PDF do esquemaFigura 3. CAPTCHA no PDF do esquema
Figura 4. Corpo do conteúdo de “Walmart_black_Friday_ps5_pickup.pdf”
Figura 4. Corpo do conteúdo de “Walmart_black_Friday_ps5_pickup.pdf”
Figura 5. Corpo do conteúdo de “how_much_do_xbox_one_cost_on_black_Friday.pdf”
Figura 5. Corpo do conteúdo de “how_much_do_xbox_one_cost_on_black_Friday.pdf”

Embora esses golpes não sejam novos, os usuários devem prestar atenção extra aos golpes em potencial antes da maratona de compras da Black Friday.

A temporada de golpes da Black Friday começou

Embora as compras online para a Black Friday sejam divertidas e empolgantes, também fornecem aos criminosos cibernéticos amplas oportunidades de explorar e monetizar o espírito generoso e a ganância da vítima. Se um desconto ou a disponibilidade de um item difícil de encontrar parecer bom demais para ser verdade, pense duas vezes antes de fazer uma compra.

Ações e precauções recomendadas

Como esses criminosos estão usando técnicas de phishing para criar socialmente e atrair as vítimas para que sigam as etapas definidas pelo invasor, é vital enfrentar esses desafios com antecedência.

A ferramenta mais eficaz na luta contra spam e links e anexos maliciosos de e-mail é um gateway de e-mail seguro com tecnologias avançadas de detecção e resposta. O Secure Email Gateway da Fortinet não apenas vê e efetivamente interrompe tais ameaças, mas pode ser facilmente integrado à estratégia de segurança mais ampla de uma organização, ao invés de operar como uma solução autônoma, permitindo que as organizações implantem o FortiMail como parte de uma segurança ponta a ponta completa solução.

As organizações também são fortemente encorajadas a realizar treinamentos contínuos destinados a educar e informar os funcionários sobre as últimas técnicas de phishing / spearphishing e como identificá-las e respondê-las. Isso deve incluir encorajar os funcionários a nunca abrirem anexos de alguém que não conhecem e sempre tratar os e-mails de remetentes não reconhecidos / confiáveis ​​com cautela. 

Como foi relatado que muitos ataques de phishing e spearphishing estão sendo executados como parte de mecanismos de distribuição de engenharia social, os usuários finais de uma organização também devem ser informados sobre os vários tipos de ataques em uso atualmente. Isso pode ser realizado por meio de sessões regulares de treinamento e testes improvisados ​​usando modelos predeterminados originados do departamento de segurança interna de uma organização. Um treinamento simples de conscientização do usuário sobre como identificar e-mails com anexos ou links maliciosos também pode ajudar a prevenir o acesso inicial à rede.

Fonte: https://minutodaseguranca.blog.br/os-golpes-da-black-friday-estao-chegando/

Contato - Rio de Janeiro

Contato - São Paulo

Siga-nos