Uma campanha de phishing direcionando setores de saúde, governo, hospitalidade e educação em vários países usa várias técnicas de evasão para evitar detecção. Os atacantes escondem infostealers em notificações de infração de direitos autorais, explorando a urgência percebida e a autoridade aparente dessas comunicações. A campanha visa coletar credenciais e dados sensíveis de organizações críticas.
Descoberta e vetores de ataque
A campanha utiliza notificações de infração de direitos autorais como isca, uma tática que explora o medo de consequências legais e financeiras. As vítimas são levadas a clicar em links maliciosos ou baixar anexos infectados, acreditando que estão lidando com uma questão legal legítima. As técnicas de evasão incluem o uso de domínios recém-registrados, ofuscação de código e a imitação de logotipos e formatos de documentos oficiais.
O infostealer instalado pode coletar uma variedade de dados, incluindo credenciais de login, informações de cartão de crédito e documentos confidenciais. A coleta de dados é feita de forma silenciosa, muitas vezes sem alertar o usuário, permitindo que os atacantes mantenham o acesso por longos períodos.
Setores afetados e riscos
Os setores de saúde, governo, hospitalidade e educação são alvos frequentes devido à quantidade de dados sensíveis que armazenam. No setor de saúde, o roubo de dados de pacientes pode levar a fraudes de identidade e violações de privacidade. No governo, o acesso a informações confidenciais pode comprometer a segurança nacional. A hospitalidade e a educação lidam com dados financeiros e pessoais de clientes e alunos, respectivamente.
A campanha destaca a necessidade de vigilância contínua e treinamento de funcionários para reconhecer tentativas de phishing. A implementação de filtros de e-mail avançados e a monitoração de tráfego de rede podem ajudar a identificar e bloquear ameaças antes que causem danos.
Medidas de mitigação recomendadas
Organizações devem revisar seus processos de verificação de notificações legais e implementar políticas de segurança que exijam confirmação por múltiplos canais. A educação dos funcionários sobre phishing e engenharia social é essencial para prevenir a execução de anexos maliciosos. A implementação de soluções de segurança de endpoint que detectam comportamentos anômalos pode ajudar a identificar infostealers em tempo real.
Além disso, a segmentação de rede e o controle de acesso baseado em função podem limitar o impacto de um comprometimento. A auditoria regular de logs de acesso e a revisão de permissões de usuário são práticas recomendadas para manter a segurança dos dados.
O que os CISOs devem fazer imediatamente
Os CISOs devem garantir que os planos de resposta a incidentes incluam cenários de phishing e infostealers. A comunicação com equipes de TI e jurídico deve ser coordenada para lidar com notificações suspeitas. A implementação de autenticação multifator e a monitoração de atividades de login são medidas imediatas para proteger credenciais. A colaboração com parceiros de segurança e forças da lei pode ajudar a rastrear e neutralizar os atacantes.