Ataques de phishing miram clientes do maior banco da Ucrânia e outras empresas do país

Clientes do PrivatBank, o maior banco estatal da Ucrânia, estão sendo alvo de ataques de phishing que distribuem o malware SmokeLoader, possibilitando o roubo de dados e ganhos financeiros. O grupo de cibercriminosos UAC-0006 estaria por trás da operação, conforme apontou a CloudSEK na quarta-feira (5).

A campanha começa com o envio de emails falsos para os correntistas da instituição financeira contendo arquivos protegidos por senha, em anexo. Ao abrir esses anexos disfarçados de faturas, instruções de pagamento e cópias de documentos, a vítima executa um arquivo JavaScript que leva ao download e instalação do SmokeLoader no dispositivo.

• Leia também: Ciberataque deixou cidade ucraniana sem aquecimento por dias, mostra relatório

Exemplo de imagem com anexo malicioso enviado às vítimas. (Imagem: CloudSEK/Divulgação)

O relatório destaca que os invasores usaram diferentes técnicas para esconder a presença do vírus, como a proteção com senha e binários legítimos do sistema. Dessa forma, os emails fraudulentos conseguem escapar com mais facilidade das ferramentas de detecção, assim como os arquivos contidos nas mensagens.

Em ação no PC, o malware implantado pelo grupo UAC-0006 pode roubar dados confidenciais dos correntistas do PrivatBank como informações pessoais e financeiras, senhas e segredos corporativos, uma vez que indivíduos de setores importantes estão entre os principais alvos. Esses dados podem ser usados em outros ataques ou vendidos.

Indústrias e serviços públicos também na mira

Além do PrivatBank, os cibercriminosos que lideram essa campanha em andamento estão implantando o malware SmokeLoader em outras organizações ucranianas, incluindo a maior fabricante de automóveis do país, uma empresa do ramo de farmácias, uma de abastecimento de água e o serviço de transporte público local. As informações são da Trend Micro.

Os emails de phishing com anexos maliciosos também são usados nesses ataques, simulando mensagens oficiais dessas companhias. Os invasores exploram uma vulnerabilidade no programa 7-Zip para a instalação do vírus nos computadores das vítimas.

• Saiba mais: Hackers ucranianos "destroem" rede de provedor de internet da Rússia

Pesquisadores de segurança alertam para a importância de mitigar os ataques, que podem resultar no comprometimento de dados pessoais e financeiros sensíveis, causar danos à reputação das organizações envolvidas e promover a espionagem, além de colocar as cadeias de suprimento em risco.