À medida que os golpes de phishing continuam a evoluir, o surgimento de Malware como Serviço (MaaS) direcionado especificamente a usuários do Windows destaca essa tendência. Embora a Microsoft tenha tomado medidas para responder a essas ameaças, o golpe subjacente permanece ativo. Aqui está uma análise mais detalhada de como esse golpe sofisticado funciona e quais medidas você pode tomar para se proteger.
Entendendo o golpe de phishing de malware como serviço
Os golpes de phishing geralmente utilizam e-mails, mensagens de texto, pop-ups ou sites enganosos para ludibriar os usuários. Uma estratégia recente, identificada por especialistas do Microsoft Defender, incorpora aplicativos confiáveis para induzir as pessoas a instalarem malware, dificultando assim a detecção.
Na maioria dos casos, o Windows está equipado para bloquear esse tipo de malware devido à ausência de um certificado de segurança válido. Nesse contexto, um certificado de Validação Estendida (EV) desempenha um papel crucial, garantindo aos usuários a legitimidade da marca e a proteção contra tentativas de phishing. No entanto, os golpistas desenvolveram uma maneira inteligente de contornar esse sistema.
Eles criaram uma fachada de legitimidade ao fundar a TrustConnect Software PTY LTD, uma empresa de fachada. Usando inteligência artificial, fabricaram uma identidade comercial completa, incluindo um site, avaliações positivas e métricas de clientes. Ao obterem com sucesso um certificado EV, conseguiram tornar seu malware confiável aos olhos dos usuários e dos sistemas.
Isso significa que os golpistas obtiveram legalmente um certificado EV válido, em vez de recorrerem a roubo ou falsificação. Consequentemente, qualquer malware que distribuam é imediatamente reconhecido como legítimo pelo Windows.
Para verificar o certificado de um aplicativo no Windows, basta clicar com o botão direito do mouse no arquivo executável e navegar até Propriedades → Assinaturas Digitais → Detalhes → Exibir Certificado.

A situação se agrava ainda mais quando a TrustConnect se transforma em um negócio legítimo, atendendo a empreendedores inescrupulosos. Eles adotaram um modelo de negócios MaaS (Mobile at a Service), oferecendo assinaturas a partir de US$ 300 por mês em criptomoeda para permitir que outros executem ataques de phishing.
Os usuários são alvo de e-mails contendo arquivos PDF, convites para reuniões e outros conteúdos aparentemente inofensivos que disfarçam links maliciosos. Os links geralmente induzem os usuários a “atualizar” aplicativos como o Adobe Acrobat ou o Zoom. Uma vez enganados e clicando em “Atualizar”, os usuários instalam malware sem saber.
Arquivos executáveis comuns, como adobereader.exe.exe, trustconnectagent.exe.py msteams.exe, zoomworkspace.clientsetup.exe.py e.py, invite.exesão executados sem levantar suspeitas, pois possuem assinaturas EV válidas. Isso faz com que o malware crie pastas dentro de Arquivos de Programas e seja executado na inicialização do sistema, de forma semelhante a qualquer aplicativo normal, dificultando a detecção até mesmo para os usuários mais experientes em tecnologia.
Revogação do Certificado de Veículo Elétrico: Uma Solução Limitada
Poder-se-ia supor que a revogação do certificado EV desmantelaria efetivamente a operação de phishing da TrustConnect, mas a realidade é mais complexa. Embora essa medida impeça que qualquer novo malware obtenha um certificado EV, ela não invalida retroativamente os certificados emitidos anteriormente.
Como resultado, qualquer malware que tenha sido previamente certificado continua sendo considerado legítimo pelo Windows. Consequentemente, os usuários devem tomar medidas proativas para se protegerem. Embora os clientes corporativos sejam alvos principais, os usuários individuais não devem se considerar imunes.
Além disso, profissionais de segurança identificaram que os autores do TrustConnect já estão desenvolvendo outra variante de malware chamada DocConnect, que emprega táticas semelhantes.
Formatação: Uma abordagem recomendada
Pesquisas indicam que as tentativas de eliminar o malware revelam camadas ainda mais avançadas do que se presumia inicialmente. O malware da TrustConnect instala diversas estruturas de Monitoramento e Gerenciamento Remoto (RMM) para manter o acesso contínuo aos sistemas comprometidos. Consequentemente, remover apenas uma dessas estruturas representa apenas uma fração do que é necessário.
Para os afetados, formatar o computador é a solução mais eficaz para garantir a remoção completa do malware.É fundamental fazer backup dos seus arquivos primeiro; após reinstalar o Windows, execute uma verificação antivírus completa nos seus backups antes de restaurá-los. Felizmente, como o malware se disfarça de aplicativo do Windows, é menos provável que esteja ligado aos seus documentos ou fotos.

Em ambientes empresariais, é recomendável que os administradores de TI proíbam os usuários de executar atualizações de software por conta própria.
Atenção com relação às atualizações de aplicativos a partir de links.
A TrustConnect não é a única a usar atualizações de aplicativos enganosas para instalar malware. A vantagem exclusiva que possuíam era um certificado válido, o que dificultava a detecção de suas atividades por soluções de segurança.
Se você clicar em um link de uma fonte aparentemente confiável que sugere uma atualização de aplicativo, pare imediatamente. Não prossiga com a atualização.
Em vez disso, abra o aplicativo separadamente e verifique se há atualizações por meio das configurações ou do menu de ajuda. Para aplicativos baixados originalmente da Microsoft Store, as atualizações também devem ser obtidas diretamente pela loja.
Se não houver atualizações disponíveis, você pode ter certeza de que o link encontrado é malicioso. Dado que os processos podem mudar frequentemente, é prudente instalar novos aplicativos em um ambiente de teste (sandbox) para avaliar sua segurança antes de integrá-los completamente.
Pensamento crítico para conexões inesperadas
A prevalência de golpes de phishing dificilmente diminuirá. Uma das medidas de proteção mais eficazes é questionar links inesperados antes de interagir com eles. Recentemente, recebi um e-mail que parecia oferecer uma pesquisa de preços de seguro de carro. Apesar da autenticidade do remetente, optei por acessar diretamente o site da minha seguradora em vez de clicar no link. Acabou sendo uma tentativa de phishing.
Se tiver dúvidas sobre a legitimidade de um link, não clique. Para qualquer comunicação relacionada ao trabalho, entre em contato com o suposto remetente separadamente para verificar. Priorize a segurança em vez da curiosidade e evite responder a mensagens, pois isso apenas interage com o golpista e aumenta o risco.
Com o surgimento diário de novos golpes de phishing, que chegam até mesmo a se infiltrar em plataformas como o LinkedIn, é essencial manter-se informado e vigilante. Embora o Malware como Serviço (MaaS) apresente uma nova camada de complexidade, a conscientização e a cautela podem capacitar os usuários a evitar esses golpes.
Deixe um comentário