Investigadores da Proofpoint Threat Research compartilharam exclusivamente com o TecMundo uma nova ameaça, que mira professores e funcionários do departamento de física e engenharia de universidades dos Estados Unidos e Canadá. Esse agente foi nomeado de UNK_MassTraction e usa brechas em um sistema de email. Há suspeita de ligações entre criminosos e a China.
Os pesquisadores detectaram o roubo de credenciais e a instalação de acessos ocultos nos sistemas acadêmicos. Tudo começa com um simples e aparentemente inofensivo email enviado até esses funcionários. As mensagens parecem propagandas e spams comuns para não levantarem suspeitas.
A partir de então, o golpe entra em uma segunda fase. Basta que esses funcionários abram o email para que uma brecha de segurança seja ativada. A partir de então, o real processo de roubo de dados começa e não há muito o que a vítima possa fazer neste estágio. Não é preciso baixar nem abrir nenhum documento. A simples leitura da mensagem é suficiente.

Mesmo hackers experientes teriam uma dificuldade absurda em criar um mecanismo que ativa um golpe somente ao abrir um email. No entanto, uma brecha no provedor de email dessas faculdades fez esse trabalho sujo acidentalmente para os cibercriminosos. A culpa é de uma vulnerabilidade no sistema de emails Roundcube.
Se você pensou que o UNK_MassTraction quer roubar informações desses professores de física e engenharia, não é bem assim. A Proofpoint indica que os cibercriminosos estudaram quais desses funcionários usam o Roundcube em versões vulneráveis e começaram a disparar os emails. O objetivo é se infiltrar na rede central dos servidores dessas instituições de ensino e buscar patentes, pesquisas e outras informações.
Ao obter acesso pelo email desses funcionários, os cibercriminosos podem:
- roubar nomes de usuário;
- senhas;
- dados de autenticação de dois fatores;
cookies; - reconhecimento contra o navegador, incluindo o idioma em uso, tamanho da tela e valores de campos de formulário.
O show do IceCube
É preciso comentar que o UNK_MassTraction usa uma engenhosa artimanha para acessar os sistemas das vítimas. Por mais que pareça algo bem simples, todo o esquema criminoso foi meticulosamente pensado para roubar informações sem que a vítima desconfie.
O email enviado aos funcionários parece ordinário, mas no HTML da mensagem, os criminosos esconderam um script malicioso. Quando a vítima abre o email, a falha do Roundcube é acionada no navegador e isso executa um programa mal-intencionado chamado de IceCube.

Desenvolvido em JavaScript, o IceCube pode ter sido desenvolvido com o auxílio de inteligência artificial, segundo os pesquisadores. Essa ferramenta vasculha o navegador do usuário e rouba inúmeros dados de extrema importância, como as já citadas senhas e dados de MFA.
- Após roubar todas essas credenciais, o IceCube avança para o servidor central da universidade;
- Essa ida ao sistema da instituição ocorre por uma segunda falha em versões antigas do Roundcube;
- O malware envia dados alterados ao servidor, que quando tenta fazer a leitura, executa uma ordem dos criminosos e instala uma aplicação (webshell);
- Com essa aplicação ativa, os criminosos conseguem obter controle remoto da máquina invadida.
O UNK_MassTraction ainda possui um plano B caso a instalação desse webshell não funcione. Esse agente malicioso baixa outra aplicação relativamente similar, mas que roda diretamente na memória RAM do PC. O malware se disfarça de um processo legítimo para ficar invisível aos olhos dos antivírus.
Ligação com a China?
Embora a Proofpoint não cite diretamente que a China está relacionada aos ataques, os pesquisadores possuem algumas evidências sobre isso. Os investigadores rastrearam o caminho digital percorrido pelo email e chegaram aos servidores da estrutura, que tem similaridades com outras usadas no passado e associadas ao governo chinês.
Vestígios no HTML escondidos no HTLM dos emails maliciosos estavam no idioma chinês, indicando o uso de máquinas chinesas. Aquele plano B que insere um aplicação na RAM é feito em uma linguagem de programação chamada Go, historicamente utilizada por grupos hackers ligados ao governo chinês.
Como se proteger?
Para se proteger de golpes como esse, a recomendação básica é sempre deixar todos os aplicativos pessoais e de instituições atualizados. Softwares desatualizados são muito suscetíveis à brechas, então sistemas atualizados são imunes a essa e outras ameaças cibernéticas.
Para a administração de Ti, é necessária a implementação de regras rígidas para impedir que os servidores aceitem e-mails falsificados de domínios enganosos. Os especialistas também pedem que servidores de email também recebam mais processos de vigilância.
Por falar em grandes golpes, o Google e o FBI desmantelaram um esquema de botnets de 2 milhões de aparelhos que eram utilizados por grupos cibercriminosos. Siga o TecMundo no X, Instagram, Facebook e YouTube e assine a nossa newsletter para receber as principais notícias e análises diretamente no seu e-mail.