Hackers russos usam anúncio de venda de BMW para enganar diplomatas na Ucrânia

Hackers russos usaram a venda legítima de um veículo BMW para atingir diplomatas em Kiev, na Ucrânia, revelou novo relatório da Unit 42, unidade de Inteligência e pesquisa de ameaças da Palo Alto Networks. Os atacantes utilizaram o anúncio como uma isca de phishing para atrair atenção de seus alvos. A Unit 42 relata que, em meados de abril de 2023, um diplomata do Ministério das Relações Exteriores da Polônia enviou por e-mail um panfleto anunciando a venda de um sedã BMW série 5 usado, que estava na capital. O arquivo foi intitulado “BMW 5 à venda em Kiev – 2023.docx”.

Marcos Oliveira, country manager da Palo Alto Networks no Brasil, explica que os hackers listaram a BMW do diplomata por um preço mais baixo, de 7,5 mil euros, em uma versão falsa do anúncio, como uma tentativa de encorajar mais pessoas a baixar um software malicioso que lhes daria acesso remoto a seus dispositivos.

“Esse software estava disfarçado como um álbum de fotos do veículo e ao tentar abrir essas imagens, a pessoa infectaria a sua máquina. A venda de um carro confiável de um diplomata bem estabelecido foi percebida pela Cloaked Ursa como uma oportunidade atraente”, comenta. Cloaked Ursa é um grupo hacker supostamente ligado ao Serviço de Inteligência Estrangeira da Rússia.

De acordo com a Unit 42, as missões diplomáticas na Ucrânia têm sido alvo de uma série de ataques cibernéticos supostamente ligados ao Serviço de Inteligência Estrangeira da Rússia. As tentativas de ataque do Cloaked Ursa utilizam predominantemente iscas de phishing com temas relacionados a operações diplomáticas. Essas iscas são direcionadas a indivíduos que lidam com a correspondência da embaixada como parte de suas responsabilidades diárias. O objetivo é convencê-los a abrir arquivos, já que esses funcionários frequentemente têm acesso a informações sensíveis e confidenciais, bem como a comunicações e correspondências entre países.

Recentemente, os pesquisadores da Unit 42 observaram que os atacantes do Cloaked Ursa passaram também a mirar os próprios diplomatas diretamente. Os ataques, ligados ao serviço de inteligência russo, miravam representantes de pelos menos 22 das cerca de 80 missões estrangeiras presentes na capital ucraniana.

Para Oliveira, esse número é surpreendente para uma operação clandestina conduzida por uma Ameaça Persistente Avançada (APT) que é publicamente atribuída ao Serviço de Inteligência Estrangeira da Rússia (SVR) pelos Estados Unidos e Reino Unido. “A avaliação de que o grupo é responsável por essas iscas é embasada em diversas evidências, incluindo semelhanças com outras campanhas e alvos conhecidos da ameaça, o uso de TTPs conhecidos e a identificação de sobreposição de código com outro malware previamente associado a essa ameaça”, afirma Oliveira.

Como não cair em golpes de phishing

Para evitar cair em golpes de phishing, é fundamental estar atento e seguir algumas práticas de segurança. Segundo Oliveira, é imprescindível verificar o endereço de e-mail do remetente antes de abrir qualquer e-mail suspeito. Erros ortográficos ou pequenas variações em nomes de domínio são alguns dos indícios que podem indicar que o e-mail é falso. “Evite clicar em links enviados por e-mails não solicitados, especialmente se eles direcionam para sites desconhecidos ou suspeitos. Verifique a URL do link antes de clicar para garantir que seja autêntico”, reforça Oliveira.

Outro cuidado importante é na hora de abrir os arquivos anexados nos emails. E-mails de phishing frequentemente contêm anexos maliciosos que podem infectar o computador com malware. Por isso é essencial ativar a autenticação em dois fatores sempre que possível, já que isso adiciona uma camada extra de segurança, exigindo um segundo método de verificação além da senha para acessar contas online.

“Também desconfie de mensagens urgentes. Golpistas frequentemente usam táticas de urgência para induzir as pessoas a agir rapidamente e sem pensar. Se um e-mail ou mensagem parecer muito urgente ou alarmante, verifique sua autenticidade antes de tomar qualquer ação”, alerta Oliveira. “E ao receber um e-mail de phishing, é preciso denunciá-lo ao provedor de e-mail e às autoridades competentes. Isso pode ajudar a prevenir que outros caiam na mesma armadilha”, completa o especialista.