Os engenheiros do TrendLabsSM estão
monitorando um ataque em circulação que destaca o risco, geralmente
subestimado e desconhecido, que os funcionários correm ao verificar
seus e-mails pessoais no trabalho. Ontem, um de nossos colegas em
Taiwan recebeu um e-mail que parecia um ataque direcionado. Ao
contrário de em outros ataques realizados com o uso de e-mails, nos
quais geralmente é necessário abrir a mensagem e clicar em um link
ou executar um anexo, neste ataque bastava que os usuários
visualizassem a mensagem na página de preview de seus
navegadores.
Esta é uma tela da caixa de entrada
de e-mails:
|
Figura 1. Tela da caixa de
entrada do webmail (detalhes pessoais e barra de endereços
removidos)
|
A mensagem do e-mail acima traduzida
diz mais ou menos o seguinte:
Assunto: Você já acessou o Facebook
de um lugar desconhecido?
Conteúdo:
Prezado usuário do Facebook,
Sua conta do Facebook está sendo
acessada de um computador, equipamento ou localização que você
nunca usou antes. Para proteger a segurança de sua conta, antes de
você confirmar que a conta não foi hackeada nós a travamos
temporariamente.
Você já acessou o Facebook de outro
lugar?
Se este não é seu nome, por favor,
use seu computador pessoal para fazer o login no Facebook e siga as
instruções para gerenciar os dados de sua conta.
Se esta não é sua conta, por favor,
não se preocupe. Realizando o login novamente, você pode poderá
acessar sua conta.
Para mais informações, visite nosso
Help Center aqui: … {link}
Obrigado,
Equipe de Segurança do Facebook
Simplesmente visualizar uma prévia
do e-mail já dispara o download de um script a partir de uma URL
remota. O script é, então, injetado na página para iniciar o roubo
de informação. Mensagens de e-mail e informações de contato são
alguns dos dados roubados. No entanto, o mais importante é que o
script também encaminha todas as suas mensagens de e-mail para um
endereço específico.
A mensagem parece ter sido
especialmente criada para cada destinatário, já que ela utiliza o
Hotmail ID de cada usuário no script malicioso que ela possui.
Downloads subsequentes também utilizam Hotmail IDs específicos, e
outro número específico identificado por quem o atacou. Se este
número for alterado, a forma do ataque também muda.
Funcionários que verificam suas
contas de e-mail pessoais no trabalho e se tornam vítimas podem dar
atacante àquele que o atacou acesso a informações críticas
relacionadas à empresa, como contatos e mensagens confidenciais. As
empresas precisam considerar com seriedade os riscos que estes e
outros ataques representam, especialmente pelo fato de que apenas
visualizar as mensagens na tela de preview já dispara a execução do
script malicioso.
Os engenheiros do TrendLabs estão
atualmente trabalhando em uma análise mais detalhada deste ataque.
Recomendamos aos usuários muito cuidado ao abrir suas contas de
e-mail pessoais no trabalho, já que ataques como este podem
comprometer dados corporativos importantes.
A Trend Micro já detecta o script
malicioso como JS_AGENT.SMJ e bloqueia o acesso à URL
maliciosa utilizada neste ataque. Recomendamos aos usuários de
produtos Trend Micro que habilitem imediatamente o recurso de
reputação web, prevenindo estes e outros ataques. Empresas que não
são clientes da Trend Micro também podem se proteger utilizando uma
combinação de nossas ferramentas gratuitas, como Web Protection
Add-On e Browser Guard.