Barracuda full logo

Radar de Ameaças de Email - Março 2025

Tópicos:
12 mar. 2025
|
Threat Analyst Team

No último mês, os analistas de ameaças da Barracuda identificaram várias ameaças notáveis baseadas em email que visam organizações em todo o mundo, incluindo:

  • Tentativas de extorsão personificando Clop ransomware
  • Novos ataques pela plataforma de phishing evasiva e altamente adaptável LogoKit phishing
  • Uma campanha de phishing utilizando anexos de ficheiros de imagem SVG

Os atacantes fazem-se passar pelo ransomware Clop para extorquir pagamento.

Instantâneo de ameaça

Porque passar pelo trabalho e despesa de lançar um verdadeiro ataque de ransomware quando pode simplesmente fingir fazê-lo?

Os analistas de ameaças da Barracuda descobriram recentemente um ataque de email em que os burlões tentaram convencer os alvos de que eram do ransomware Clop e que tinham conseguido violar a rede da empresa e roubaram dados sensíveis. Os atacantes ameaçaram expor a informação a menos que a vítima pagasse uma quantia não especificada.

Exemplo de um ataque que se faz passar pelo ransomware Clop

No seu e-mail de extorsão, os atacantes alegaram ter explorado uma vulnerabilidade na Cleo, o desenvolvedor por trás de uma gama de plataformas de transferência de arquivos geridas, incluindo Cleo Harmony, VLTrader e LexiCom. Este método de ataque está amplamente associado ao ransomware Clop.

Os atacantes alegaram ter conseguido acesso não autorizado à rede da empresa da vítima e ter descarregado e exfiltrado dados dos servidores. Para dar autenticidade às suas alegações, eles direcionaram o alvo para um media blogpost relatando como o Clop roubou dados de 66 clientes da Cleo usando esta abordagem.

Os atacantes forneceram uma série de endereços de email de contacto e instaram a vítima a entrar em contacto.

Sinais a procurar

  • Emails do falso Clop são suscetíveis de referir cobertura mediática sobre ataques reais de ransomware Clop.
  • Se o email apresentar elementos como um prazo de pagamento de 48 horas, links para um canal de chat seguro para negociações de pagamento de resgate, e nomes parciais de empresas cujos dados foram violados, então provavelmente está a lidar com ransomware Clop real, e precisa de tomar medidas imediatas para mitigar o incidente.
  • Se esses elementos estiverem ausentes, provavelmente está a ser enganado.

LogoKit phishing kit evita deteção com links únicos e interação em tempo real com a vítima

Instantâneo de ameaça

Os analistas da Barracuda encontraram a bem estabelecida plataforma de phishing como serviço LogoKit a distribuir emails maliciosos alegando ser sobre redefinições urgentes de palavras-passe.

LogoKit está ativo desde 2022, e as suas funcionalidades e características ajudam-no a evadir as defesas de segurança tradicionais, tornando a deteção e mitigação significativamente mais difíceis.

Entre outras coisas, o LogoKit tem a capacidade alarmante de interação em tempo real com as vítimas. Isto significa que os atacantes podem adaptar as suas páginas de phishing dinamicamente à medida que a vítima insere as suas credenciais. O LogoKit recupera o logótipo da empresa de um serviço de terceiros, por exemplo, Clearbit ou a base de dados de favicon do Google.

O LogoKit é muito versátil. Integra-se com serviços de mensagens populares, redes sociais e plataformas de email para distribuir as suas tentativas de phishing. Pode gerar páginas de phishing únicas para cada alvo. Este nível de versatilidade também torna a deteção mais difícil para as defesas de segurança tradicionais.

Na campanha mais recente observada pelos analistas de ameaças da Barracuda, os atacantes distribuíram e-mails com aparência autêntica com os cabeçalhos "Reinicialização de Senha Solicitada" ou "Ação Imediata na Conta Necessária."

Exemplo de ataque de phishing LogoKit

Esses cabeçalhos criam uma sensação de preocupação e urgência, concebidos para incentivar o destinatário a clicar rapidamente no link para resolver o suposto problema. Em vez disso, são redirecionados para uma página de phishing criada dinamicamente hospedada pela LogoKit.

Esta página é concebida para parecer idêntica ao portal de login e à página de redefinição de senha do serviço ao qual a vítima acredita estar a ligar-se. A vítima é solicitada a introduzir as suas credenciais de login, que são então capturadas pelo atacante.

Sinais a procurar

  • O padrão de URL a procurar:
  • https://ExampleURL.#.[ chave + Email da Vítima ]
  • https://ExampleURL/[ chave + Email da Vítima ]
  • https://ExampleURL.#.[ URL codificada em base64 + Email da Vítima ]

Padrão do hyperlink para Clearbit e Favicon para buscar o logotipo:

  • <img src="https://logo.clearbit.com/Victim domain" >
  • <img src= "https://www.google.com/s2/favicons?domain=Victim domain" >

Ataques de phishing a explorar anexos gráficos SVG

O uso de anexos maliciosos em ataques de phishing, com texto mínimo ou nenhum no corpo do email, está a aumentar. Analistas de ameaças têm observado ataques que utilizam PDFs, HTML, HTM, documentos Word, ficheiros Excel e arquivos ZIP.

À medida que as ferramentas de deteção melhoram, os atacantes continuam a adaptar os seus métodos de ataque, e os analistas de ameaças da Barracuda notaram recentemente uma mudança para a utilização de anexos SVG (Scalable Vector Graphics) em ataques de phishing. Alguns destes ataques são realizados utilizando plataformas de phishing-como-serviço (PhaaS) populares, como Tycoon 2FA.

SVG é um tipo de formato de imagem que é ideal para websites porque as imagens podem ser ampliadas ou reduzidas sem perder qualidade de resolução. Os ficheiros SVG são geralmente escritos em XML amigável para a web.

De acordo com os analistas da Barracuda, os ficheiros SVG estão a tornar-se um método popular para entregar cargas maliciosas devido à sua capacidade de conter scripts incorporados, que não parecem suspeitos para as ferramentas de segurança.

Nas amostras analisadas pela Barracuda, os ataques são do tipo tradicional de “transferência urgente de fundos” ou concebidos para roubar credenciais da Microsoft. Em ataques mais complexos, abrir o anexo do email aciona o download de um ficheiro ZIP malicioso.

Exemplo de um ataque de phishing explorando ficheiros SVG

Se for detetado um ambiente de sandbox, os atacantes redirecionam a “vítima” para um site de compras legítimo e popular.

Sinais a procurar

  • Se um e-mail tiver um anexo .SVG com links clicáveis, evite interagir com o anexo.
  • Outros sinais de alerta incluem ficheiros SVG que solicitam o download de ficheiros adicionais e o aparecimento de avisos do navegador ou alertas de segurança ao abrir o ficheiro.

Como a Barracuda Email Protection pode ajudar a sua organização

Barracuda Email Protection oferece um conjunto abrangente de funcionalidades concebido para defender contra ameaças avançadas de e-mail.

Inclui capacidades como Email Gateway Defense, que protege contra phishing e malware, e Impersonation Protection, que salvaguarda contra ataques de engenharia social.

Além disso, fornece Incident Response e Domain Fraud Protection para mitigar os riscos associados a contas comprometidas e domínios fraudulentos. O serviço também inclui Cloud-to-Cloud Backup e Security Awareness Training para melhorar a postura geral de segurança de e-mail.

A Barracuda combina inteligência artificial e integração profunda com o Microsoft 365 para fornecer uma solução abrangente baseada na nuvem que protege contra ataques de phishing e de personificação potencialmente devastadores e altamente direcionados.

Mais informações estão disponíveis aqui.

Obtenha segurança completa de email
Threat Analyst Team

A equipa de analistas de ameaças da Barracuda concentra-se na deteção, análise e mitigação de ameaças emergentes. Dedicada a proteger os clientes de ciberataques, a equipa utiliza tecnologias avançadas e inteligência sobre ameaças para fornecer insights acionáveis e estratégias de defesa proativas.

Artigos Relacionados:
BarracudaONE: Benefits for one early adopter
BarracudaONE: Benefits for one early adopter
 Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
 De volta às aulas, de volta aos esquemas fraudulentos
De volta às aulas, de volta aos esquemas fraudulentos
 Destaque de Ameaça: Códigos QR divididos e aninhados alimentam nova geração de ataques de 'quishing'
Destaque de Ameaça: Códigos QR divididos e aninhados alimentam nova geração de ataques de 'quishing'
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.