Há uma crescente sofisticação das metodologias de ataque de malware segundo aponta a Fortinet. Tendência que aproveita as funcionalidades legítimas das ferramentas de gestão à distância e das ferramentas de partilha de ficheiros para fins maliciosos, vulgo malware.
Com efeito, a equipa da FortiMail IR identificou uma nova campanha de ciberameaças que está a afetar organizações em Portugal, Espanha e Itália. Algo que se faz sentir em diversos setores de actividade.
Alerta dado recentemente pela Fortinet
Campanhas estas, configuradas como um remetente autorizado, o que permite a validação SPF. Ora, as campanhas em causa exploram serviços legítimos como Dropbox, MediaFire e Google Drive.
Em seguida, tentam induzir os utilizadores a descarregar e executar ficheiros diversos. Por exemplo, como uma fatura de tratamentos clínicos, para propagar malware do tipo Remote Access Trojan (RAT) entre os utilizadores.
Técnica de engenharia social com identidade forjada
A primeira camada do ataque chega por email, aparentemente legítimo, proveniente de um domínio fidedigno que passa com sucesso os testes de SPF (Sender Policy Framework), o que permite que o email não levante suspeitas nos filtros tradicionais. O assunto do email e o conteúdo apelam à urgência de verificação de duas faturas, prática típica para levar os destinatários a agir rapidamente sem verificar a autenticidade.
O anexo em PDF refere problemas de visualização e incita ao clique num botão, que redireciona para um ficheiro HTML com instruções para um download adicional. Este HTML inclui uma simulação de verificação CAPTCHA e, após esse passo, leva o utilizador a um link gerado via Ngrok, que simula um acesso legítimo, mas acaba por conduzir ao ficheiro malicioso.
Os atacantes utilizam o Ngrok para gerar dinamicamente URLs que os ajudam a contornar os mecanismos de filtragem de segurança do correio eletrónico. Uma das principais técnicas que utilizam é a camuflagem com base geográfica, que apresenta conteúdos diferentes consoante a localização do utilizador.
Segmentação geográfica e uso de plataformas legítimas
A utilização de plataformas como MediaFire e Dropbox serve para aumentar a taxa de sucesso e reduzir o grau de suspeição. A maior preocupação reside na utilização de geofencing, ao clicar no link, utilizadores fora dos países-alvo (Itália, Portugal e Espanha) são redirecionados para páginas inofensivas, apenas os utilizadores localizados nas zonas-alvo recebem o ficheiro malicioso.
Este ficheiro, com nome “FA-43-03-2025.jar”, é um Java RAT (Remote Access Trojan) conhecido como Ratty. Trata-se de uma ameaça versátil, capaz de operar em diferentes sistemas operativos e de executar ações como captura de ecrã, registo de teclas e exfiltração de dados sensíveis.
Portugal no radar dos atacantes alerta a Fortinet
Entre os alvos identificados, destaca-se a simulação de uma fatura emitida por uma organização de saúde. Ora, como por exemplo o Grupo Medinova.
Por isso, o uso indevido desta identidade demonstra a crescente sofisticação das campanhas de phishing. Algo que já não se limitam a erros de ortografia e domínios obscuros, mas imitam instituições de confiança para maximizar o impacto.
A fatura aparentemente legítima, partilhada através do Google Drive, não é suscetível de levantar suspeitas durante a verificação do correio eletrónico. Desse modo, destina-se a passar pelos mecanismos de segurança de correio eletrónico sem levantar qualquer suspeita de intenção maliciosa.
No entanto, quando o pedido é originário de Itália, o URL muda completamente, levando ao download de um ficheiro JAR malicioso.
Em suma, o que torna esta campanha de correio eletrónico particularmente sofisticada é a sua combinação de múltiplas táticas. Notes-se, concebidas para evitar a deteção e explorar plataformas de confiança.
Com efeito, a sua estratégia multicamadas utiliza técnicas de engenharia social para manipular os destinatários a clicar em links maliciosos.
Resposta recomendada e reforço da ciberresiliência
Em jeito de conclusão, a Fortinet recomenda às organizações que reforcem os seus sistemas de filtragem de email. Além disso, que implementem soluções avançadas de deteção e resposta, e apostem na formação contínua dos seus colaboradores como primeira linha de defesa. A prevenção continua a ser a melhor proteção.
Por fim, a campanha detetada representa um alerta claro: o email continua a ser o vetor de ataque preferido dos cibercriminosos. Por isso, só com uma abordagem integrada — tecnologia, formação e monitorização — é possível antecipar e neutralizar estas ameaças antes que causem danos graves.
Fica mais conectado: