Campanha de phishing usa falsa investigação para levar vítimas a baixar ransomware.
Pesquisadores da Bitdefender identificaram uma campanha de phishing contra pequenas e médias empresas. Os criminosos se passam por agentes da Interpol e usam um link do Proton Drive para entregar um arquivo RAR. Dentro dele há um ransomware que bloqueia os arquivos e pode interromper a operação da empresa.
A campanha descrita por pesquisadores da Bitdefender mira pequenas e médias empresas em escala global. A isca é um e-mail que se disfarça de comunicação da Interpol, com logotipos oficiais e um tom de urgência calculado. A mensagem afirma que a empresa estaria sob investigação por fraude e pede que a vítima abra um link para conferir supostas evidências em vídeo.
O objetivo é levar o funcionário a agir depressa, sem parar para confirmar a origem da mensagem. Em uma PME, um único computador bloqueado já é capaz de atrasar faturamento, atendimento, produção, logística ou tarefas administrativas inteiras.
O caminho do golpe é direto. Primeiro, o criminoso dispara o e-mail falso assinado em nome da Interpol. Em seguida, o link conduz a vítima ao Proton Drive, onde está um arquivo compactado no formato RAR protegido por senha, apresentado como o tal vídeo mencionado na mensagem.
Na prática, o conteúdo esconde um ransomware artesanal, montado especificamente para essa campanha. Ao ser executado, o malware bloqueia os arquivos do computador e deixa uma nota exigindo contato pelo aplicativo anônimo Tox para negociar o resgate. O problema não está no Proton Drive em si, e sim no uso do serviço como hospedagem para dar aparência legítima ao arquivo.
Alguns detalhes ajudam a reconhecer esse tipo de golpe antes que o dano aconteça:
Se a empresa recebeu uma mensagem parecida, não abra o link, não baixe o RAR e não execute qualquer arquivo. Encaminhe o e-mail para o responsável de TI ou segurança e confirme a comunicação por um canal oficial, jamais respondendo ao próprio remetente suspeito.
Se alguém já abriu o arquivo, a prioridade é isolar o computador da rede, preservar a mensagem recebida e acionar suporte especializado. Avisar a equipe também é essencial, para que outros funcionários não caiam no mesmo clique.
Não há indicação de invasão ao Proton Drive. O serviço foi apenas usado como local para hospedar o arquivo malicioso, o que é bem diferente de uma falha na plataforma.
A campanha mira PMEs no mundo todo. Esse perfil costuma depender de poucos computadores e sistemas, então o bloqueio de arquivos consegue paralisar atividades importantes muito rápido.
A nota do ransomware pede contato pelo Tox para negociar o resgate. Antes de qualquer decisão, isole o equipamento, preserve as evidências e busque apoio especializado para avaliar recuperação e contenção.
A LC SEC ajuda sua empresa a reduzir riscos de phishing e ransomware com conscientização, diagnóstico de segurança, análise de ameaças e planos práticos de resposta a incidentes.
Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io