Pesquisadores da Trend Micro identificaram uma nova campanha de phishing no Brasil que utiliza o perigoso Trojan Astaroth para roubar informações bancárias. Batizada de Water Makara, a campanha maliciosa tem como alvo usuários de diferentes setores, incluindo empresas da indústria, varejo e órgãos governamentais, por meio de e-mails fraudulentos disfarçados de documentos fiscais.
Os ataques começam com o envio de e-mails contendo arquivos ZIP que, ao serem abertos, ativam scripts maliciosos em JavaScript por meio do utilitário “mshta.exe”. Esses scripts são projetados para se conectar a servidores de comando e controle, permitindo que os criminosos executem ações remotas no dispositivo da vítima sem serem detectados.
Os cibercriminosos utilizam métodos de engenharia social para enganar as vítimas e fazer com que elas baixem os arquivos maliciosos. O JavaScript ofuscado é um dos principais truques usados para evitar a detecção por sistemas de segurança e realizar o roubo de dados de forma secreta. Essa abordagem permite que os invasores estabeleçam uma comunicação discreta com seus servidores para executar novos ataques.
Os arquivos ZIP maliciosos contêm arquivos LNK que ativam os comandos escondidos. Uma vez executados, esses arquivos baixam outros elementos nocivos dos servidores controlados pelos invasores. A campanha usa uma variedade de formatos de arquivo, como PDF, JPEG, MP4 e GIF, o que dificulta a identificação das ameaças pelos mecanismos de segurança.
O objetivo principal dos ataques é roubar informações confidenciais, especialmente credenciais bancárias. Apesar do Astaroth já ser uma ameaça conhecida, sua evolução contínua o torna ainda mais perigoso. Para se proteger, a Trend Micro recomenda o uso de medidas de segurança avançadas, como atualizações regulares de software, autenticação multifatorial e treinamento em cibersegurança para funcionários.