Em um artigo que publicamos em meados de 2018, destacamos as formas de execução que um ransomware pode apresentar em campanhas de propagação, de acordo com o comportamento que vimos em diferentes famílias desse tipo de malware. O bloqueio do sistema, a criptografia de arquivos, a combinação desses dois últimos ou a criptografia e a capacidade de roubar carteiras de bitcoin, entre outras, são as formas mais comuns de execução desse tipo de código malicioso. No entanto, recentemente, um novo ransomware foi descoberto (não conta com um nome em específico), que não apenas criptografa os arquivos do computador infectado, mas também tenta roubar as informações do cartão de crédito da vítima ao usar uma página de phishing que se passa pelo PayPal.
A descoberta ocorreu por meio da equipe do MalwareHunterTeam através de uma mensagem enviada pelos cibercriminosos às vítimas, na qual oferecem duas alternativas de pagamento para o resgate dos arquivos criptografados. Uma das opções seria através de bitcoins e a segunda através do PayPal. Portanto, caso um usuário infectado escolha a segunda opção, ele será direcionado para uma página de phishing que se passa pela página oficial do PayPal. Ao acessar a página, os cibercriminosos tentam roubar as informações do cartão de crédito da vítima e, em seguida, os dados de login para efetuar pagamentos e transferências online.
Pedido para confirmar os dados do cartão de crédito da vítima. Imagem: @MalwareHunterTeam.
Em um segundo momento, os cibercriminosos solicitam, através da página de phishing, que a vítima confirme os dados pessoais da conta do PayPal. Imagem: @MalwareHunterTeam.
De acordo com a explicação, através do Twitter, da equipe responsável pela descoberta, logo após completar os campos solicitados, o usuário recebe uma mensagem indicando que as etapas foram executadas com êxito e que o mesmo será redirecionado para uma página inicial do PayPal falsa. Neste momento, os cibercriminosos esperam que a vítima insira seu nome de usuário e senha para realizar login na conta e, dessa forma, roubar não apenas as informações do cartão de crédito, mas também os detalhes da conta.
A mensagem confirma que a conta foi restabelecida com êxito e que o usuário será redirecionado para a home page do PayPal para efetuar login. Imagem: @MalwareHunterTeam.
Como sempre, os cibercriminosos estão constantemente buscando alternativas para melhorar seus ataques e torná-los mais eficientes. Portanto, como sempre enfatizamos, devemos estar atentos, aprender a reconhecer os sinais que indicam que estamos enfrentando uma tentativa de fraude e usar uma solução de segurança confiável.
