Fortinet alerta para campanhas de Email Multicamadas

A equipa da FortiMail IR identificou uma nova campanha de ciberameaças que está a afetar organizações em Portugal, Espanha e Itália em diversos setores de actividade.

Configuradas como um remetente autorizado, o que permite a validação SPF, as campanhas em causa exploram serviços legítimos como Dropbox, MediaFire e Google Drive, e tentam induzir os utilizadores a descarregar e executar ficheiros, como uma fatura de tratamentos clínicos, para propagar malware do tipo Remote Access Trojan (RAT) entre os utilizadores.

A primeira camada do ataque chega por email, aparentemente legítimo, proveniente de um domínio fidedigno que passa com sucesso os testes de SPF (Sender Policy Framework), o que permite que o email não levante suspeitas nos filtros tradicionais.

O assunto do email e o conteúdo apelam à urgência de verificação de duas faturas, prática típica para levar os destinatários a agir rapidamente sem verificar a autenticidade.

O anexo em PDF refere problemas de visualização e incita ao clique num botão, que redireciona para um ficheiro HTML com instruções para um download adicional.

Este HTML inclui uma simulação de verificação CAPTCHA e, após esse passo, leva o utilizador a um link gerado via Ngrok, que simula um acesso legítimo, mas acaba por conduzir ao ficheiro malicioso.

Os atacantes utilizam o Ngrok para gerar dinamicamente URLs que os ajudam a contornar os mecanismos de filtragem de segurança do correio eletrónico. Uma das principais técnicas que utilizam é a camuflagem com base geográfica, que apresenta conteúdos diferentes consoante a localização do utilizador.

A utilização de plataformas como MediaFire e Dropbox serve para aumentar a taxa de sucesso e reduzir o grau de suspeição.

A maior preocupação reside na utilização de geofencing, já que “ao clicar no link, utilizadores fora dos países-alvo (Itália, Portugal e Espanha) são redirecionados para páginas inofensivas, apenas os utilizadores localizados nas zonas-alvo recebem o ficheiro malicioso”, refere a empresa em comunicado.

Este ficheiro, com nome “FA-43-03-2025.jar”, é um Java RAT (Remote Access Trojan) conhecido como Ratty. Trata-se de uma ameaça versátil, capaz de operar em diferentes sistemas operativos e de executar ações como captura de ecrã, registo de teclas e exfiltração de dados sensíveis.

Entre os alvos identificados, destaca-se a simulação de uma fatura emitida por uma organização de saúde, como por exemplo o Grupo Medinova. O uso indevido desta identidade demonstra a crescente sofisticação das campanhas de phishing, que já não se limitam a erros de ortografia e domínios obscuros, mas imitam instituições de confiança para maximizar o impacto.