Como identificar um e-mail infetado por um vírus?

Spam e phishing são as duas técnicas mais eficazes que ajudam os criminosos a obter os seus ganhos mal adquiridos. À medida que a humanidade se torna cada vez mais dependente das tecnologias e em particular da Internet, reparamos como os ciber-criminosos se unem em grupos de crime organizado que trabalham muito para executar projetos maliciosos para burlar dinheiro de vítimas desavisadas.

How to identify an email infected with a virus?

Na verdade, alguns peritos acreditam que o crime desorganizado já deixou de existir. Enquanto muitos tendem a pensar que os ciber-criminosos são hackers super avançados que sabem como usar códigos para quebrar sistema de segurança e mesmo tomar o controlo dos computadores dos utilizadores remotamente, a realidade é muito diferente. Na maioria dos casos estes criminosos cibernéticos são apenas golpistas hábeis que usam métodos de engenharia social para levar os utilizadores a instalar malware nos seus computadores.

A utilização de spam e phishing para a proliferação de malware é a melhor prova do mesmo e, na verdade, pode ser definido como a evolução lógica do ciber-crime. Na verdade, não existe a necessidade de passar horas a elaborar esquemas de ataque quando tudo o que é preciso para piratear uma rede informática é convencer um empregado ingénuo a abrir um anexo de e-mail que pareça o currículo de alguém.

How to identify an email infected with a virus?

Esta técnica provou ser bastante eficiente e acelerou consideravelmente a distribuição de malware. Por exemplo, 2017 é amplamente conhecido como o ano do ransomware, e o facto de mesmo 93% dos e-mails de phishing no primeiro trimestre de 2017 terem contido ransomware simplesmente prova-o. Claramente que existem fundos razoáveis para acreditar que a extensão do spam e phishing em 2018 chegar a números ainda maiores.

Exemplos de spam malicioso

E-mail carregados de malware são até agora o vetor de ataque mais eficiente. Os spammers são rápidos a explorar eventos a ocorrer (eventos de desporto, saldos, época dos impostos, etc.) e enviam centenas de milhares de mensagens e-mail, embora alguns truques funcionem todo o ano.

Os exemplo dados abaixo revelam e-mails de phishing tipicamente usados para a proliferação de malware. Esperamos que estes exemplos ajudem a identificar e-mails de phishing futuramente e o(a) tornem mais séptico(a) relativamente à confiabilidade dos e-mails que lhe são enviados por indivíduos desconhecidos.

Exemplo Nº. 1: E-mails de currículo ou candidatura a emprego

E-mails de phishing contêm um currículo anexo normalmente enviado para especialistas de recrutamento, diretores ou donos de empresas que tomam decisões de contratações. Estes e-mails normalmente contêm apenas algumas frases, convidando o destinatário a abrir o currículo anexo. Normalmente os golpistas esperam que estes e-mails de phishing sejam convincentes quando tentam infetar uma empresa específica ou organização de saúde. Estes e-mails foram maioritariamente usados nas campanhas spam do CryptoWall 3.0, GoldenEye e Cerber. Veja alguns exemplos dos e-mails phishing abaixo.

Malware-laden resume

Exemple Nº. 2: E-mails de phishing que alegam ser da gigante do Commerce Amazon.

Os ciber-criminoso tendem a defraudar os utilizadores da Amazon com falsos e-mails enviados de contas de e-mail fictícias que parecem legítimos à primeira vista. Estes e-mails de phishing podem ser usados para burlar dinheiro da vítima ou para entregar um anexo de e-mail malicioso que transporta um vírus grave de computador.

Por exemplo, os golpistas estavam a usar o endereço de e-mail auto-shipping@amazon.com para enviar milhares de e-mails contendo o ransomware Locky. Estes e-mails incluíam a seguinte frase no assunto: “A sua encomenda Amazon.com foi enviada (#order_number)” e continha um anexo ZIP que transportava um ficheiro JS malicioso que, uma vez aberto, descarregava o ransomware a partir de um website específico.

Abaixo, pode ver um exemplo de um e-mail malicioso a entregar o Locky e um exemplo que foi obtido durante a análise da campanha de distribuição do Spora.

Amazon email scams

Exemplo Nº. 3: Faturas

Outra técnica muito bem sucedida que ajudou a impulsionar a distribuição do ransomware Locky envolveu e-mails de phishing que transportavam um anexo chamado “ATTN: Fatura-[código aleatório].” Estes e-mails enganadores continham algumas frases no campo de mensagem pedindo à vítima para “ver a fatura anexa (Documento Microsoft Word).” O único problemas é que o documento Word na verdade continha um guião malicioso que era ativado através da função Macro. Um exemplo do e-mail de phishing descrito é providenciado abaixo.

Malicious emails distributing Locky

Exemple Nº. 4: Spam que explora o tema de grandes eventos desportivos

Adora desporto? Então deve estar ciente do spam com o tema desporto. Ultimamente, os investigadores da Kaspersky notaram num aumento de e-mails visando utilizadores interessados no Campeonato Europeu de Futebol, as próximas Mundiais de 2018 e 2022, bem como os Jogos Olímpicos no Brasil.

Estas mensagens transportam arquivo ZIP malicioso que contém um Trojan (descarregador de malware) na forma de um ficheiro JavaScript. De acordo com os peritos, o Trojan está configurado para descarregar mais malware para o computador. Veja um exemplo da mensagem maliciosa abaixo.

Malicious spam targeting FIFA fans

Exemplo Nº. 5. Spam com o tema terrorismo

As fraudes cibernéticas não esquecem que o terrorismo é um dos assuntos de interesse tópico. Não surpreende que este tema seja também usado no spam malicioso. O spam de tema terrorista não é um dos favoritos dos fraudulentos, porém, deve saber o que esperar. Providenciamos um exemplo deste tipo de mensagem de e-mail abaixo. Este tipo de spam é geralmente usado para roubar dados pessoais, executar ataques DDoS e propagar malware.

Terrorism-based phishing emails

Exemple Nº. 6 Emails que providenciam “relatórios de segurança”

Investigadores detetaram mais uma campanha de e-mail que distribuía documentos Word maliciosos. Acontece que estes documentos também contêm macros infeciosas que descarregam e executam o ransomware CryptXXX assim que a vítima ativa a função requerida. Estes e-mails contêm a seguinte frase no campo de assunto: “Falha de Segurança – Relatório de Segurança #[código aleatório].”

A mensagem contém o endereço IP da vítima e localização do computador, fazendo a vítima sentir que a mensagem é genuína e digna de confiança. A mensagem avisa a vítima sobre ameaça não existente como falhas de segurança que foram evitadas ostensivamente e sugere que verifique o relatório anexo à mensagem. Claro que o anexo é malicioso.

Phishing emails delivering ransomware

Exemple Nº. 7. Spam malicioso supostamente enviado por empresas legítimas

De forma a convencer a vítima a abrir o ficheiro anexo a um e-mail, os golpistas fingem ser alguém que não são. A forma mais fácil de enganar o utilizador e levá-lo a abrir um anexo malicioso é criar uma conta falsa de e-mail quase idêntica à da empresa legítima.

Usando estas contas de e-mail fictícias, os golpistas atacam os utilizadores com e-mails bem compostos que transportam carga útil num ficheiro anexo às mesmas. O exemplo abaixo mostra um e-mail que foi enviado por golpistas que fingiam trabalhar na Europcar.

Scammers impersonate Europcar employees

O exemplo abaixo mostra que mensagens foram usadas num ataque contra clientes da empresa A1 Telekom. Estas mensagens de phishing incluíam URLs da DropBox enganadores que levavam a ficheiros ZIP ou JS maliciosos. Mais análises revelaram que estes ficheiros continham o vírus Crypt0l0cker.

Mail spam targeting A1 Telekom users

Exemple Nº. 8. Tarefa urgente do seu chefe

Recentemente os golpistas começaram a usar um novo truque que os ajuda a burlar dinheiro de vítimas desavisadas em poucos minutos. Imagine que recebeu um e-mail do seu chefe, dizendo que está de férias e que você tem de fazer um pagamento a uma empresa urgentemente pois estará fora de alcance brevemente.

Infelizmente, se se apressar a obedecer às ordens e não verificar os pequenos detalhes antes de o fazer, pode acabar por transferir dinheiro da empresa para um criminoso ou, ainda pior, infetar toda a rede informática com malware. Outro truque que pode convencê-lo(a) a abrir este anexo malicioso é fingindo ser seu colega.

O truque poderá ser bem-sucedido se trabalha numa grande empresa e não conhece todos os seus colegas. Pode ver alguns exemplos destes e-mails de phishing abaixo.

Task from boss spam

Exemple Nº. 9. Phishing com o tema impostos

Os golpistas seguem de boa vontade as agendas de impostos de diferentes países e regiões e não perdem a oportunidade de iniciar campanhas de spam relacionadas com o tema impostos para distribuir programas maliciosos. Usam uma variedade de táticas de engenharia social para enganar as vítimas miseráveis a descarregar ficheiros maliciosos que vêm juntamente com estas cartas virtuais enganadoras.

Estes anexos transportam maioritariamente Trojans bancários (keyloggers) que, uma vez instalados, roubam informação pessoal como o nome das vítimas, sobrenome, log-ins, informação de cartão de crédito e dados semelhantes. O programa malicioso pode aguardar num anexo de e-mail malicioso ou num atalho inserido na mensagem. Abaixo pode ver um exemplo de um e-mail que entrega um falso recibo para impostos, que na verdade é um cavalo de Tróia.

Income Tax Receipt virus

Os golpistas tentam também atrair a atenção do utilizador e forçá-lo a abrir o anexo malicioso declarando que existe uma ação pendente de aplicação da lei contra o mesmo. A mensagem diz que algo tem de ser feito “relativamente à intimação do irs”, que está anexa à mensagem. Claro que o documento anexo não é uma intimação: é um documento malicioso que abre em vista Protegida e pede à vítima de Permita Edição. Consequentemente, o código malicioso descarrega malware para o computador.

Tax Subpoena scam

O exemplo final mostra como os golpistas tentam enganar os utilizadores a abrir anexos maliciosos. O e-mail parece advir de alguém que procura auxílio de um CPA e, claro, contém um anexo ou dois. Estes são simplesmente típicos documentos maliciosos que ativam um guião e descarregam malware a partir de um servidor remoto assim que a vítima o abre.

Tax Phishing

Como identificar e-mail malicioso e manter-se seguro?

There are some main principles to live by if you’re trying to avoid malicious emails.

  • Esqueça a pasta Spam. Existe uma razão para as cartas de e-mail caírem na secção Spam ou Lixo. Significa que os filtros de e-mail identificaram automaticamente que e-mails idênticos ou semelhantes estão a ser enviados para milhares de pessoas ou que uma grande quantidade de destinatários já os marcou como mensagens Spam. E-mails legítimos caem nesta categoria apenas em casos muito, muito raros, portanto é melhor manter-se afastado(a) das pastas Spam e Lixo.
  • Verifique o remetente de um e-mail antes de o abrir. Se não tem a certeza sobre o remetente, não interaja com os conteúdos desse e-mail de todo. Mesmo que tenha um programa antivírus ou anti-malware, não clique em atalhos adicionados à mensagem e não abra ficheiros anexos na mensagem e não abra ficheiros anexos sem pensar. Lembre-se: mesmo os melhores programas de segurança podem falhar na identificação de um novo vírus se acontecer ser um dos primeiros alvos escolhidos pelos seus programadores. Se não está seguro(a) quanto ao remetente, pode sempre ligar para a empresa para a qual este alega trabalhar e perguntar sobre o e-mail que acaba de receber.
  • Mantenha a segurança do seu PC atualizada. É importante não ter programas antigos no sistema pois normalmente estão repletos de vulnerabilidades de segurança. Para evitar estes riscos, permita atualizações automáticas de software. Finalmente, use um bom programa anti-malware para afastar programas maliciosos. Lembre-se: apenas um programa de segurança atualizado pode proteger o seu computador. Se está a usar um antigo e se tende a adiar a instalação das atualizações do mesmo, permite claramente que programas maliciosos entrem rapidamente no seu computador sem ser identificado e bloqueado.
  • Descubra se o URL é seguro sem clicar no mesmo. Se o e-mail que recebeu contém um URL suspeito, passe o seu rato sobre o mesmo para verificar a validade. Depois olhe para o canto inferior esquerdo do seu navegador de rede. Deve ver o verdadeiro URL para o qual será redirecionado. Se parecer suspeito ou terminar em .exe, .js ou .zip, não clique!
  • Os ciber-criminosos normalmente têm fracas competências de escrita. Assim sendo, falham muitas vezes na composição mesmo de uma curta mensagem, com erros ortográficos e gramaticais. Se reparar em algum, mantenha-se afastado dos URLs inseridos na mensagem ou dos ficheiros anexos à mesma.
  • Não se apresse! Se vir que o remetente o pressiona a abrir o anexo ou um atalho particular, é melhor pensar duas vezes antes de o fazer. É provável que o ficheiro anexo contenha malware.
Sobre o autor
Olivia Morelli
Olivia Morelli

Analista de malware...

Contato do Olivia Morelli
Sobre a empresa Esolutions

Ler noutras linguagens
Ficheiros
Software
Compare