A equipa da FortiMail IR identificou uma nova campanha de ciberameaças que está a afetar organizações em Portugal, Espanha e Itália em diversos setores de actividade.
Configuradas como um remetente autorizado, o que permite a validação SPF, as campanhas em causa exploram serviços legítimos como Dropbox, MediaFire e Google Drive, e tentam induzir os utilizadores a descarregar e executar ficheiros, como uma fatura de tratamentos clínicos, para propagar malware do tipo Remote Access Trojan (RAT) entre os utilizadores.
A primeira camada do ataque chega por email, aparentemente legítimo, proveniente de um domínio fidedigno que passa com sucesso os testes de SPF (Sender Policy Framework), o que permite que o email não levante suspeitas nos filtros tradicionais.
O assunto do email e o conteúdo apelam à urgência de verificação de duas faturas, prática típica para levar os destinatários a agir rapidamente sem verificar a autenticidade.
O anexo em PDF refere problemas de visualização e incita ao clique num botão, que redireciona para um ficheiro HTML com instruções para um download adicional.
Este HTML inclui uma simulação de verificação CAPTCHA e, após esse passo, leva o utilizador a um link gerado via Ngrok, que simula um acesso legítimo, mas acaba por conduzir ao ficheiro malicioso.
Os atacantes utilizam o Ngrok para gerar dinamicamente URLs que os ajudam a contornar os mecanismos de filtragem de segurança do correio eletrónico. Uma das principais técnicas que utilizam é a camuflagem com base geográfica, que apresenta conteúdos diferentes consoante a localização do utilizador.
A utilização de plataformas como MediaFire e Dropbox serve para aumentar a taxa de sucesso e reduzir o grau de suspeição.
A maior preocupação reside na utilização de geofencing, já que “ao clicar no link, utilizadores fora dos países-alvo (Itália, Portugal e Espanha) são redirecionados para páginas inofensivas, apenas os utilizadores localizados nas zonas-alvo recebem o ficheiro malicioso”, refere a empresa em comunicado.
Este ficheiro, com nome “FA-43-03-2025.jar”, é um Java RAT (Remote Access Trojan) conhecido como Ratty. Trata-se de uma ameaça versátil, capaz de operar em diferentes sistemas operativos e de executar ações como captura de ecrã, registo de teclas e exfiltração de dados sensíveis.
Entre os alvos identificados, destaca-se a simulação de uma fatura emitida por uma organização de saúde, como por exemplo o Grupo Medinova. O uso indevido desta identidade demonstra a crescente sofisticação das campanhas de phishing, que já não se limitam a erros de ortografia e domínios obscuros, mas imitam instituições de confiança para maximizar o impacto.
O consórcio procura estabelecer em Portugal um cluster para a indústria dos videojogos, criando um…
Trata-se de uma nova solução de conetividade para viagens que permite aos viajantes em lazer…
Cobertura alcança perto de 80% das habitações e empresas do País e suporta serviços diferenciados…
A Lenovo revelou também as mais recentes edições dos seus novos desktops workstation ThinkStation P2…
O projeto visa facilitar o acesso a tecnologias de apoio destinadas a pessoas com limitações…
Em conjunto, disponibilizam uma nova funcionalidade que permite às PME acederem a financiamento de faturas…