A Microsoft tem um ‘aviso’ sobre IDs de contato do Google
De acordo com a Microsoft, os formulários de contato em sites estão sendo abusados por hackers para fornecer links maliciosos. Nos e-mails, é fornecido um link para que o alvo verifique as evidências por trás da denúncia. Assim que eles clicam no link, um malware chamado IcedID é baixado, o que pode roubar dados de seus sistemas de computador e também levar à instalação de ransomware. Os hackers estão usando URLs do Google para fazer com que o alvo acredite que é seguro clicar.
Os e-mails maliciosos
Um exemplo de tal email malicioso é dado abaixo:
“Olá. Esta é a Meleena e sou uma fotógrafa e ilustradora qualificada. Fiquei surpreso, de forma moderada, quando vi minhas imagens no seu site. Se você usar uma imagem protegida por direitos autorais sem o consentimento do proprietário, você deve estar ciente de que pode ser processado pelo proprietário dos direitos autorais se o uso de imagens roubadas for ilegal e for tão barato! Aqui está este documento com os links para o meu
imagens que você usou no (site) e minhas publicações anteriores para obter a evidência de meus direitos autorais legais. Baixe agora e verifique por si mesmo.
(o link malicioso)
Se você não remover as imagens mencionadas no documento acima durante os próximos dias. Vou registrar um para o seu provedor de hospedagem informando que meus direitos autorais foram gravemente violados e estou tentando proteger minha propriedade intelectual. E isso não ajuda a confiar em mim, vou levar isso ao tribunal! E você não receberá o segundo aviso meu. ”
A Microsoft disse na postagem do blog: “Depois que o destinatário do e-mail entra, a página sites.google.com baixa automaticamente um arquivo ZIP malicioso, que contém um arquivo .js fortemente ofuscado. O arquivo .js malicioso é executado via WScript para criar um objeto shell para iniciar PowerShell para fazer o download do payload IcedID (um arquivo .dat), que é descriptografado por um carregador de DLL descartado, bem como um sinalizador Cobalt Strike na forma de um DLL sem etapas, permitindo que invasores controlem remotamente o dispositivo comprometido. ”
FacebookTwitterLinkedin
Source link