G Data adverte sobre campanha ativa de spam: supostas regras de segurança no trabalho corona contêm malware. Os criminosos estão enviando um documento com as regras de segurança ocupacional da corona supostamente alteradas. O e-mail está disfarçado de informação do Ministério da Saúde.
Um e-mail que supostamente vem do Ministério Federal da Saúde contém um downloader de malware. O anexo de arquivo com o nome "Bund-Arbeitsschutzregel-Corona-September.zip" supostamente contém um documento com regras atualizadas e agora obrigatórias para proteção contra infecções no local de trabalho. O texto do e-mail permite concluir que as empresas fazem parte prioritariamente do público-alvo. Por isso, atualmente, as empresas são aconselhadas a ter um cuidado especial quando supostos e-mails de autoridades vão parar na caixa de correio. Estamos cientes de relatos de infecções atualmente ativas.
"A pandemia de corona ainda está causando muita incerteza - e a mistura de muitas regras de home office e higiene no local de trabalho representa grandes desafios para os empregadores", diz Tim Berghoff, Evangelista de segurança da G DATA CyberDefense. “Por isso mesmo, os responsáveis devem ficar muito atentos e confiar apenas nas fontes oficiais. Porque uma infecção por malware é ainda menos útil para as empresas no momento do que já é."
Os invasores se aproveitam da ignorância de funcionários e empresas
Tim Berghoff, Evangelista de Segurança da G Data.
O texto do e-mail aponta para uma reunião entre ministros da saúde da UE na qual as regras atualizadas foram revisadas. Pode até ser verdade que houve tal reunião - no entanto, essas informações não costumam ser enviadas por e-mail dos ministérios, mas publicadas em um portal separado. Não há correspondência proativa.
Além disso, o texto do e-mail refere-se a uma reunião que ocorreu "hoje". Existem também alguns erros de caracteres no correio, especialmente as letras U, W, C e D, bem como tremas. O e-mail também contém um endereço de remetente incorreto que se refere a "bundesministerium-gesundheit.com" - mas este domínio não pertence ao Ministério da Saúde. O endereço mencionado no texto do e-mail "[email protegido]” está realmente correto.
Informações prévias são particularmente úteis contra campanhas de spam bem feitas
Para se protegerem de uma infecção por malware de um e-mail de tal campanha de spam, empresas e particulares devem obter todas as informações sobre a pandemia de COVID19 e as medidas de proteção correspondentes apenas de fontes oficiais. Todas as informações atuais sobre Corona e COVID19 são coletadas no site do Ministério Federal da Saúde (BmG).
A propósito, outro e-mail com a mesma função maliciosa está a caminho na forma de uma carta de inscrição falsa. Um dos nomes usados para o suposto aplicativo é “Claudia Alick”.
O fato de criminosos estarem usando a pandemia como alavanca para suas atividades não é novidade: ainda no início da pandemia, golpistas garantiram que o pagamento de ajudas financeiras a empresas vulneráveis fosse brevemente suspenso.
Funções maliciosas do carregador de script “Buer”
De acordo com o conhecimento atual, o anexo de e-mail contém um carregador JScript chamado "Buer" - que, por sua vez, baixa outros malwares da Internet. Este é o NuclearBot – um Trojan bancário que tem como alvo, entre outras coisas, as senhas de contas bancárias.
Mais sobre isso no blog em GData.de