Segurança

Em prenúncio de ransomware, gigante de móveis Ikea sofre mega ataque de phishing

Maior varejista mundial de móveis, sueca IKEA está às voltas com um ataque cibernético que tem com alvo os funcionários em uma campanha de phishing que utiliza emails em cadeia. 

Esse ataque por e-mail em cadeia de resposta ocorre quando os agentes de ameaças roubam endereços eletrônicos corporativos legítimos e, em seguida, respondem a eles com links para documentos maliciosos que instalam malware nos dispositivos dos destinatários.

Devido à gravidade dessas infecções e ao provável comprometimento de seus servidores Microsoft Exchange, a IKEA está tratando esse incidente de segurança como um ataque cibernético significativo que poderia levar a um ataque muito mais prejudicial, particularmente de ransomware.

Como os emails da cadeia de resposta são emails legítimos de uma empresa e normalmente são enviados de contas de email comprometidas e servidores internos, os destinatários confiarão no email e terão maior probabilidade de abrir os documentos maliciosos.
O sequestro de cadeia de e-mail é um dos identificadores exclusivos da recente campanha de malspam SquirrelWaffle, que explora uma vulnerabilidade não corrigida em servidores Microsoft Exchange para distribuir a carga de malware Qakbot.
Segundo o portal BleepingComputer, a IKEA está alertando os funcionários sobre um ataque cibernético de phishing de cadeia de resposta em andamento que visa caixas de correio internas. Esses e-mails também estão sendo enviados de outras organizações e parceiros de negócios comprometidos da IKEA.

“Há um ataque cibernético em andamento que tem como alvo as caixas de correio do Inter IKEA. Outras organizações, fornecedores e parceiros de negócios da IKEA são comprometidos pelo mesmo ataque e estão espalhando e-mails maliciosos para pessoas no Inter IKEA”, diz um dos e-mails da IKEA.

“Isso significa que o ataque pode vir por e-mail de alguém com quem você trabalha, de qualquer organização externa e como uma resposta a uma conversa já em andamento. Portanto, é difícil de detectar, pelo que pedimos que seja extremamente cauteloso.”


As equipes de TI da IKEA avisam os funcionários que os e-mails da cadeia de resposta contêm links com sete dígitos no final e compartilharam um e-mail de exemplo, conforme mostrado abaixo. Além disso, os funcionários são instruídos a não abrir os e-mails, independentemente de quem os enviou, e relatá-los ao departamento de TI imediatamente. Os destinatários também devem informar o remetente dos e-mails por meio do bate-papo do Microsoft Teams para relatar os e-mails.

Ao visitar as URLs desse ataque de phishing, um navegador será redirecionado para um download chamado ‘charts.zip’ que contém um documento Excel malicioso. Este anexo informa aos destinatários que cliquem nos botões ‘Habilitar Conteúdo’ ou ‘Habilitar Edição’ para visualizá-lo adequadamente.

Assim que esses botões forem clicados, macros maliciosas serão executadas para fazer o download de arquivos chamados ‘besta.ocx,’ ‘bestb.ocx’ e ‘bestc.ocx’ de um site remoto e salvá-los na pasta C: \ Datop. Esses arquivos OCX são renomeados como DLLs e são executados usando o comando regsvr32.exe para instalar a carga útil do malware.

* Com informações da Bleeping Computer e ITPro

Botão Voltar ao topo