Brasil, São Paulo, 15 de fevereiro, 2023 — A Avast, líder em segurança digital e privacidade e uma marca da Gen™ (NASDAQ: GEN), observou um aumento nas ameaças usando engenharia social para roubar dinheiro, como golpes de reembolso e fraude em faturas, e golpes de suporte técnico (neste último caso, incluindo o Brasil entre os principais países afetados, além dos Estados Unidos, Japão, Canadá e França -, durante o quarto trimestre de 2022. Os cibercriminosos também permaneceram ativos em espionagem e roubo de informações, usando campanhas de adware com o tema de loteria como tática para obter detalhes dos contatos das pessoas. Os pesquisadores de ameaças da Avast também descobriram explorações do dia zero no Google Chrome e no Windows. Essas vulnerabilidades já foram corrigidas. Esses insights são abordados no Relatório de Ameaças da Avast sobre o quarto trimestre de 2022.
“No final de 2022, observamos um aumento das ameaças com foco no ser humano, como golpes que enganam as pessoas e as levam a pensar que os seus computadores estão infectados ou que cobram por produtos que não foram solicitados. É da natureza humana reagir à urgência, ao medo e tentar encontrar a solução para os problemas, e é aí que os cibercriminosos triunfam”, diz Jakub Kroustek, Diretor de Pesquisa de Malware da Avast. “Quando as pessoas se deparam inesperadamente com mensagens pop-up ou e-mails, recomendamos que fiquem calmas e pensem um pouco antes de agir. As ameaças são tão onipresentes hoje, que é difícil para os consumidores acompanhá-las. É nossa missão proteger as pessoas, detectando as ameaças e alertando os usuários antes que os danos sejam causados, usando a mais recente tecnologia baseada em IA”.
Crescimento de fraudes de reembolso e fatura, e golpes de suporte técnico
Os laboratórios de ameaças da Avast também observaram um aumento nas atividades de golpes de suporte técnico. A lista dos principais países afetados inclui: o Brasil (2,99%), além dos Estados Unidos, do Japão, Canadá e da França. Esses golpes geralmente começam com uma janela pop-up, que alerta as pessoas sobre uma suposta infecção por malware e as incentiva a ligar para uma linha de assistência, com o objetivo de resolver a questão. Então, os golpistas vão convencer a pessoa que está fazendo a chamada a estabelecer uma conexão remota com o seu computador, abrindo assim uma porta para o roubo de informações pessoais e dinheiro, pois os criminosos tentam acessar as contas bancárias ou carteiras de criptomoedas das pessoas, e pedem pagamento pelos seus serviços.
“Recomendamos que as pessoas ignorem essas mensagens pop-up e fechem a janela com a tecla "Esc" ou, se isso não for possível, reiniciem o computador”, aconselha Kroustek. “Além disso, nunca dê acesso remoto ao seu computador, para alguém que você não conhece.”
Os laboratórios de ameaças da Avast também registraram um aumento de 14% nas fraudes de reembolso e fatura, de outubro a novembro de 2022, e outro crescimento de 22% em dezembro do ano passado. A fraude de reembolso funciona de maneira comparável aos golpes de suporte técnico e, geralmente, vem na forma de um e-mail que parece ter sido enviado de uma fonte parecendo ser de uma empresa confiável. As pessoas receberão um e-mail com um recibo falso, fazendo-as acreditar que foram cobradas por uma compra que não fizeram. Então, as pessoas são induzidas a ligar para um número de telefone, onde um agente pede que criem uma conexão remota com seu computador e abram a sua conta bancária, para que possa ver como o reembolso é feito. O objetivo do cibercriminoso é roubar o dinheiro da vítima. No caso de fraude de fatura, as pessoas e, mais frequentemente, as empresas, recebem faturas de bens ou serviços que nunca solicitaram ou receberam.
“Para evitar fraudes nas faturas, as pessoas precisam prestar muita atenção ao que recebem. Geralmente, as faturas fraudulentas parecem legítimas e as pessoas precisam verificar se o pedido realmente foi feito, se o serviço foi recebido e se o remetente é de verdade quem diz ser,” disse Kroustek.
Adware para roubo de informações, trojans de acesso remoto e bots
O adware na web também predominou no trimestre, não apenas incomodando as pessoas com anúncios intrusivos, mas também tentando roubar os seus dados sigilosos. Por exemplo, as pessoas são convidadas a participar de uma loteria, girando uma roleta para ganhar e, então, uma solicitação é feita para que insiram as suas informações de contato e paguem uma “taxa de manuseio”, usando o seu cartão de crédito ou a conta do Google ou Apple Pay. Os pesquisadores da Avast também observaram uma enxurrada de adware DealPly, que vem como uma extensão do Chrome e envia informações estatísticas, e de pesquisa aos cibercriminosos. O risco de ser infectado pelo DealPly aumentou em todo o mundo, mais significativamente nas Américas, na Europa e no sul e sudeste da Ásia.
Os pesquisadores da Avast observaram um aumento significativo de mais de 650% na disseminação do ladrão de informações Arkei no Brasil, conhecido por roubar dados de formulários de preenchimento automático de navegadores, senhas e outras fontes. Globalmente, também houve um aumento de 57% em pessoas e empresas protegidas contra o AgentTesla, um tipo de malware que geralmente se espalha por e-mails de phishing para negócios e é projetado para roubar credenciais, bem como um aumento de 37% no ladrão RedLine, que normalmente se espalha via serviços e jogos crackeados, roubando informações de navegadores e carteiras de criptomoedas.
A telemetria da Avast também mostra que a disseminação global do LimeRAT foi de mais de 307% no Brasil, no quarto trimestre de 2022. O LimeRAT é um trojan de acesso remoto capaz de roubar senhas, criptomoedas, conduzir ataques de negação de serviço distribuído (DDoS) e instalar ransomware no computador da vítima. Foi principalmente ativo no sul e sudeste da Ásia e na América Latina. A botnet Emotet, também um distribuidor de malware com uma ampla variedade de recursos para roubar informações e espalhar malware, desenvolveu sua técnica de evitar a detecção por software antivírus nos últimos meses a partir do uso de temporizadores, para continuar gradualmente a execução da carga útil. A botnet Qakbot, que rouba informações, também evoluiu ainda mais e começou a usar “HTML smuggling” para ocultar um script malicioso codificado em um anexo de e-mail. Por exemplo, os cibercriminosos começaram a abusar de imagens SVG, para ocultar cargas maliciosas e o código usado para sua remontagem.
Dois exploits sofisticados de dia zero também foram descobertos por pesquisadores da Avast no último trimestre. O Avast protegeu os seus usuários, pois ambos foram explorados na natureza. O primeiro, CVE-2022-3723, era uma confusão de tipos no V8 e costumava fazer uma "Execução de Código Remoto" (get Remote Code Execution - RCE) contra o Google Chrome. A Avast relatou essa vulnerabilidade ao Google, que rapidamente lançou um patch em apenas dois dias, em 27 de outubro de 2022. O segundo, CVE-2023-21674, era uma vulnerabilidade LPE no ALPC que permitia aos invasores ir desde o sandbox no navegador até o kernel do Windows. A Microsoft corrigiu esse exploit na atualização Patch Tuesday, de janeiro de 2023.
Além disso, o Relatório de Ameaças dos Laboratórios da Avast sobre o quarto trimestre de 2022 compartilha informações sobre spyware e as últimas novidades sobre trojans SMS e trojans bancários para dispositivos móveis. Avast ajuda a proteger os seus usuários contra todas as ameaças abordadas no relatório.
O Relatório de Ameaças da Avast sobre o quarto trimestre pode ser encontrado no blog Decoded: https://decoded.avast.io/threatresearch/avast-q4-2022-threat-report.
