Uma gangue de hackers especializada em ataques de comprometimento de e-mail corporativo (BEC) e rastreada como TA4903 tem se passado por várias entidades governamentais dos EUA para atrair vítimas a abrir arquivos maliciosos contendo links para processos de licitação falsos.
De acordo com a Proofpoint, cujos analistas têm acompanhado a campanha, os atores da ameaça se passam pelo Departamento de Transporte dos EUA, pelo Departamento de Agricultura dos EUA (USDA), e pela Administração de Pequenas Empresas dos EUA (SBA).
A empresa de segurança de e-mail também relata que o ator da ameaça está ativo desde pelo menos 2019, mas intensificou suas atividades desde meados de 2023 e durante 2024.
A última tática observada é o uso de códigos QR em anexos de documentos em PDF.
Os PDFs são temáticos após a organização falsificada, mas seguem um design consistente.
Além disso, todos apresentam os mesmos metadados, incluindo um nome de autor que aponta para a origem nigeriana.
Os destinatários que digitalizam os códigos QR são redirecionados para sites de phishing criados para se parecer com os portais oficiais das agências governamentais dos EUA imitadas.
Dependendo do atrativo na mensagem de phishing, os destinatários podem ser redirecionados para páginas de login do O365, onde são solicitados a inserir suas credenciais.
O TA4903 confiava no passado no 'EvilProxy' para burlar a proteção de autenticação multifator (MFA), mas a Proofpoint observa que o uso do proxy reverso não foi observado este ano.
Com base nas observações da Proofpoint ao longo do tempo e no rastreamento das credenciais de conta que a empresa plantou nos sites de phishing, a atividade do TA4903 é puramente motivada financeiramente e inclui as seguintes táticas:
Obtenção de acesso não autorizado a redes corporativas ou contas de e-mail.
Procurando nas contas comprometidas palavras-chave relacionadas a informações bancárias, pagamentos ou comerciantes para encontrar oportunidades de fraude financeira.
Realizando ataques BEC, como o envio de pedidos de pagamento ou fatura fraudulentos da conta de e-mail comprometida para outros funcionários ou parceiros.
Em várias instâncias observadas pela primeira vez em meados de 2023, o ator da ameaça utilizou o tema de um ciberataque na tentativa de enganar o pessoal do departamento financeiro para atualizar os detalhes do pagamento.
Essas mensagens foram entregues a partir de contas de e-mail comprometidas das organizações parceiras do alvo ou de endereços que se assemelham muito a eles.
O TA4903 representa uma ameaça significativa para organizações em todo o mundo, lançando constantemente campanhas de e-mail em larga escala direcionadas a uma ampla gama de organizações.
Normalmente, ele tem como alvo organizações nos EUA com campanhas de e-mail de alto volume.
De acordo com a Proofpoint, o TA4903 é conhecido por registrar nomes de domínio que se assemelham a entidades governamentais e organizações privadas em vários setores.
No entanto, os pesquisadores notaram uma recente mudança no TA4903, que passou de se passar por entidades governamentais dos EUA para a imitação de pequenas empresas, mas não está claro se a mudança é temporária ou uma alteração de longo prazo.
A complexidade de seus ataques BEC, que envolvem várias etapas, fornece várias oportunidades para detecção.
Portanto, adotar uma estratégia de segurança abrangente e em várias camadas é o método mais eficaz para mitigar essas ameaças.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...