Google descobre campanha de phishing que imita o antivírus da McAfee para apanhar as vítimas

Phishing

Um grupo de hackers com ligações ao estado chinês podem estar a fazer-se passar pela McAfee para enganar alvos importantes para instalarem malware.

Segundo a equipa de segurança da Google, o grupo chama-se APT 31 e tem usado esta táctica para obter acesso a vários computadores. Em Junho, a equipa de segurança da Google, descobriram que o APT 31 tinha atacado elementos ligados à campanha eleitoral de Joe Biden através do envio de mensagens de correio electrónico de phishing. O objectivo seria apoderarem-se das contas de email pessoais, mas, segundo a Google, parece que não forma bem sucedidos.

Na passada sexta-feira, a Google publicou uma actualização acerca das actividades do grupo com mais detalhes. Aparentemente os links enviados pelos hackers serviam para instalar malware que estava albergado no site ligado ao desenvolvimento de software Github.

O malware desenhado para sistema Windows, foi construído usando a linguagem de programação Python e podia ser controlado através do serviço de armazenamento na nuvem Dropbox.

Segundo Shane Huntley da equipa de segurança da Google: “Este malware permitiria ao atacante carregar e descarregar ficheiros, bem como executar comandos arbitrariamente. Todos os componentes ligados a este ataque estavam albergados em serviços legítimos, o que torna mais difícil aos defensores olharem para os sinais típicos de que algo vem de sites estranhos.”

Uma das técnicas usadas pelo APT 31 foi fazer-se passar pelo fabricante de antivírus McAfee. As vítimas eram levadas a instalar uma versão legítima do software de segurança da McAfee que estava no GitHub ao mesmo tempo que o malware.

Esta técnica não é nova, esquemas de phishing em que grupos de hackers se fazem passar por empresas legítimas já foram usados no passado por outros grupos para enganar as suas vítimas.

A Google implementou alguns sistemas de protecção anti phishing para tentar filtrar os ataque. No caso de um grupo de hackers ligado a um estado ser detectado a atacar uma qualquer pessoa ou instituição, é enviado um aviso acerca do ataque que indica que um estado pode estar por trás dele.

No mês passado, a Micrososoft também anunciou que o mesmo grupo de hackers chineses estaria a atacar a campanha de Joe Biden e pelo menos uma pessoa ligada à administração americana. Outros alvos incluem responsáveis políticos, académicos e organizações que operam internacionalmente.