Uma campanha de phishing ativa foi detectada por meio de um e-mail que finge ser uma notificação oficial da Polícia Federal, embora não esclareça de qual país, e induz a vítima a acreditar que está sendo convocada para depor como testemunha.

O e-mail falso induz a clicar para acessar um suposto formulário que, na verdade, baixa o Trojan bancário Mekotio, um malware conhecido e muito ativo na América Latina, que tem a capacidade de roubar informações financeiras, como credenciais de acesso a contas bancárias.

O Mekotio foi observado pela primeira vez em 2015 e em 2023 continua com atividade significativa em vários países da América Latina, tendo sido detectadas mais de 70 variantes.

Na América Latina, as detecções realizadas pelos sistemas da ESET mostram que a Argentina (52%) é o país com maior atividade do Mekotio, seguida pelo México (17%), Peru (12%), Chile (10%) e Brasil (3%).

Como é a campanha ativa do Mekotio

O e-mail apresenta um alerta falso informando a vítima para comparecer como testemunha em um processo judicial.

Nesse tipo de situação, é recomendável que você mantenha a calma e analise cuidadosamente a mensagem para evitar cair na armadilha dos cibercriminosos.

Como identificar a fraude:

  • Verifique o remetente

Uma das práticas recomendadas para identificar possíveis ameaças em e-mails é analisar cuidadosamente o endereço do remetente. Nesse caso, a Polícia Federal usa endereços de e-mail oficiais e não enviaria notificações importantes de contas genéricas ou suspeitas. Se o endereço de e-mail do remetente não corresponder ao endereço oficial da instituição, isso é motivo de suspeita.

Como pode ser visto neste caso, apesar do nome da POLÍCIA FEDERAL, o remetente real é uma conta de um usuário do Brasil.

PFA-Phishing-mail
  • Observe a personalização do texto:

phishing geralmente é caracterizado pela falta de personalização nos e-mails. Nesse caso, a notificação falsa não tem informações personalizadas, como o nome do destinatário, uma situação que é mais do que anormal se uma pessoa específica estiver realmente sendo convocada para comparecer ao tribunal. A ausência desses detalhes deve levantar dúvidas sobre a autenticidade do e-mail.

PFA-Phishing
  • Verifique o URL de descarregamento:

A mensagem de correio eletrónico contém uma ligação que supostamente conduz ao documento em questão relacionado com a notificação. Antes de clicar em qualquer ligação, é crucial verificar a autenticidade do URL. Passar o rato sobre a ligação sem clicar revelará o verdadeiro endereço a que conduz. Se o URL parecer suspeito ou não corresponder ao sítio Web oficial da Polícia Federal, é um sinal claro de que a ligação pode ser maliciosa. Como é o caso de um URL que não corresponde minimamente aos oficiais.

PFA-Phishing-adjunto

Analisando essa campanha em particular com um pouco mais de detalhes, podemos ver que, uma vez que a notificação falsa tenha sido baixada, o Trojan tentará se instalar como um executável do Windows:

PFA-Phishing-troyan-install

E o suposto aviso é executado com as seguintes propriedades:

PFA-Phish-advertenc

IOC detectado

  • hash 311A9E47B5C5984150B3ACF3FFCA59F96DE96D1B
  • Detecção do Spy.Mekotio.GV

Como se proteger

  • Desconfie de e-mails não solicitados: se você receber um e-mail inesperado, especialmente se ele envolver ações urgentes ou ameaças, é essencial verificar sua autenticidade antes de tomar qualquer atitude.
  • Verifique a autenticidade da comunicação: sempre que receber uma notificação oficial, verifique a autenticidade entrando em contato com a instituição relevante diretamente pelos canais oficiais, em vez de usar as informações fornecidas no e-mail suspeito.
  • Verifique o remetente e os detalhes do conteúdo: preste atenção aos detalhes do remetente e à qualidade do conteúdo do e-mail. Erros gramaticais, falta de personalização e endereços de e-mail suspeitos são sinais de alerta.
  • Não clique em links não verificados: evite clicar em links em e-mails não solicitados. Em vez disso, acesse diretamente o site oficial da instituição usando seu navegador
  • Mantenha o software de segurança atualizado: certifique-se de ter um software antivírus e antimalware atualizado em seu sistema para detectar e remover possíveis ameaças.

Outro fator importante para reduzir o número de vítimas de phishing é implementar o uso da autenticação de dois fatores em todos os serviços em que ela estiver disponível. Essa camada adicional de segurança ajuda a impedir que terceiros acessem nossas contas se nossas credenciais de login forem roubadas em uma violação.

O primeiro passo para os usuários é aprender a reconhecer esses tipos de e-mails e parar um segundo para pensar. Por isso, recomendamos a leitura de 8 sinais de que você é um alvo fácil para golpes on-line, um artigo no qual você encontrará um guia para algumas das técnicas mais comuns usadas pelos criminosos cibernéticos para enganar os usuários.