O que é a campanha de phishing?

Pesquisadores da Trellix identificaram uma campanha global de spear-phishing que utiliza a ferramenta legítima de acesso remoto NetBird para atingir CFOs e executivos financeiros em diversas regiões, incluindo Europa, África, Canadá, Oriente Médio e Sul da Ásia.

Como funciona

O ataque começa com e-mails falsos de recrutadores da Rothschild & Co., oferecendo supostas “oportunidades estratégicas”. O objetivo é enganar as vítimas para que acessem um link escondido em um anexo PDF que redireciona para um endereço hospedado no Firebase.

A infecção avança com o uso de CAPTCHA para liberar um arquivo ZIP contendo scripts maliciosos em VBScript. Esses scripts instalam o NetBird e o OpenSSH na máquina da vítima, criam uma conta local oculta, ativam acesso remoto e estabelecem persistência no sistema.

A presença do NetBird é mascarada com a exclusão de seus atalhos, dificultando a detecção.

Sinais de alerta / Como identificar

Embora o NetBird seja legítimo, o uso de ferramentas como essa tem crescido entre cibercriminosos, que também exploram plataformas como Atera, Splashtop e ScreenConnect para burlar defesas. A Trellix encontrou indícios de que o ataque está em curso há quase um ano.

Além disso, outras campanhas de phishing exploram domínios confiáveis e falhas antigas, como a CVE-2017-11882 no Microsoft Office.

O que fazer agora / Como se proteger

Diante desse cenário, é fundamental que executivos e equipes de segurança estejam atentos a e-mails não solicitados, especialmente aqueles que oferecem oportunidades de emprego ou solicitam ações incomuns.

1. Verifique a autenticidade de e-mails que oferecem oportunidades de emprego.
2. Desconfie de links e anexos desconhecidos.
3. Mantenha softwares de segurança atualizados.
4. Eduque a equipe sobre práticas seguras de e-mail.
5. Implemente autenticação em duas etapas sempre que possível.

Prevenção / Boas práticas

A LC SEC oferece soluções especializadas para proteger sua organização contra ameaças cibernéticas. Conheça nossos serviços em: lcsec.io

Perguntas frequentes

1. O que é spear-phishing?

Spear-phishing é um tipo de ataque cibernético que utiliza e-mails fraudulentos personalizados para enganar indivíduos específicos, geralmente visando executivos e funcionários de alto nível.

2. Como posso identificar um e-mail de phishing?

Desconfie de e-mails que solicitam informações pessoais, têm erros de gramática ou oferecem oportunidades de emprego suspeitas. Sempre verifique o remetente.

3. O que fazer se eu cair em um golpe de phishing?

Se você suspeitar que caiu em um golpe de phishing, desconecte-se da rede, altere suas senhas e informe o departamento de TI ou segurança da informação imediatamente.

4. Quais ferramentas posso usar para me proteger?

Utilize softwares de segurança confiáveis, firewalls e sempre mantenha seus sistemas operacionais atualizados para proteger sua máquina contra ataques.