Linkedin: executivos sob ataque de phishing

Se você acha que o Linkedin é uma ilha de sossego, esqueça: já tem campanha de cibercriminosos em cima de perfis dessa rede social de profissionais, especialmente aqueles que exibem cargos de diretor. A empresa de segurança Proofpoint descobriu uma dessas campanhas rolando nos Estados Unidos, disfarçada como mensagens de uma empresa de recrutamento. Segundo a Proofpoint, a oferta, iniciada pelo serviço de mensagens do Linkedin e finalizada com e-mail, tem o objetivo de implantar um backdoor (o More_eggs) no dispositivo da vítima.

As campanhas rolaram principalmente sobre empresas dos EUA, em setores que incluem varejo, entretenimento e pharma. O criminoso tenta estabelecer um relacionamento com as vítimas fingindo ser de uma empresa de recursos humanos e trazendo uma oferta de emprego. Em muitos casos, as campanhas são apoiadas por falsos sites de empresas verdadeira de recrutamento. Ali, no entanto, estão armazenados scripts que contaminam o computador da vítima. Em outros casos, o criminoso usa uma variedade de anexos maliciosos.

As campanhas variam, mas no geral o ataque é feito com um perfil legítimo criado pelo criminoso no LinkedIn, que envia convites com uma mensagem curta. Surge como um email inocente com o assunto “Hi [nome], por favor, adicione-me à sua rede profissional”. Uma semana depois, o bandido envia um e-mail para o e-mail comercial da vítima, lembrando-a sobre a tentativa anterior de comunicação no LinkedIn. No assunto é colocado o título profissional do alvo, como exibido no LinkedIn, e geralmente há uma sugestão para que o destinatário clique em um link para ver a descrição do trabalho oferecido. Em outros casos, já foi usado um PDF anexado, com URLs contaminadas ou outros anexos maliciosos.

As URLs são de uma imitação da página de uma empresa verdadeira de recrutamento, para aumentar a aparência de legitimidade das campanhas. Essa página inicia o download de um arquivo do Word, recheado com macros maliciosas. Se o destinatário habilitar as macros, o “More_eggs” será baixado e executado.

Preciso dizer mais?

 

104Shares

, ,

Comments are closed.