Cibercriminosos se passando por pais para ataques de ransomware a professores
A transição para Educação a Distância tem sido difícil o suficiente para professores em todo o mundo, mas agora pesquisadores de Prova eles observaram uma nova campanha direcionada que tenta infectar seus computadores com ransomware.
A campanha usa mensagens nas quais o invasor se faz passar por um pai ou responsável enviando uma tarefa online em nome de um aluno e afirma que o aluno encontrou problemas técnicos ao tentar enviar a tarefa por conta própria. No entanto, em vez de anexar uma atribuição aos seus e-mails, o invasor anexou um documento malicioso que baixa uma carga útil de ransomware personalizada.
No início de outubro, os pesquisadores da Proofpoint descobriram uma nova campanha de e-mail direcionada que usa tópicos como “Carregamento de atribuição filho”, “Falha no carregamento de atribuição para [Name]”OU”[Name]Falha ao carregar o mapeamento ”. Os próprios e-mails contêm um documento malicioso armazenado em um arquivo zip, e a campanha tenta atrair as vítimas com um pedido de um pai pedindo a um professor que concorde com uma tarefa enviada por e-mail.
De acordo com a Proofpoint, os alvos da campanha eram professores individuais e o invasor responsável provavelmente retirou seus endereços de e-mail das páginas públicas de um site da escola.
Dirigindo-se a professores
O documento malicioso contido nos e-mails de campanha parece ter sido criado de forma personalizada pelo invasor. Ele usa relações externas (injeção remota de modelo) para baixar outro documento malicioso que pode baixar os executáveis do malware se um usuário tiver macros habilitadas.
Os executáveis de malware são hospedados no serviço de hospedagem de código gratuito notabug[.]org e a macro também usam um serviço gratuito de erro da Web chamado Canarytokens, que notifica o invasor se o executável baixado foi iniciado com êxito ou não.
Embora o Proofpoint não tenha conduzido uma análise profunda do malware, ele parece ser um ransomware relativamente simplista e personalizado escrito no linguagem de programação Opa, atende pelo nome de “cryptme”. Os pesquisadores da empresa forneceram mais informações sobre esta nova campanha de ransomware em um postagem do blog, dizendo:
“Os alunos e os sistemas escolares enfrentaram desafios únicos em 2020, e essas mensagens aproveitam os desafios da tecnologia generalizada que acompanha o aprendizado online. As mensagens são bem elaboradas com um entendimento claro do que atrairia os destinatários, embora, no momento em que este livro foi escrito, os pesquisadores da Proofpoint não tenham observado nenhum pagamento postado no endereço Bitcoin da nota de resgate. Embora esta campanha tenha sido muito pequena, é possível que este e outros atores continuem a usar tecnologia e questões de e-learning para dar legitimidade e urgência aos seus chamarizes. “
Para evitar ser vítima dessa nova campanha de ransomware, os professores precisam estar mais vigilantes ao verificar seus e-mails e evitar abrir mensagens de remetentes desconhecidos.