O que acabou de acontecer? Um e-mail de alerta sobre um ataque cibernético complexo foi recentemente descoberto como uma farsa realizada usando servidores reais do FBI. O Projeto Spamhaus, uma organização internacional que fornece suporte a ameaças cibernéticas para empresas e agências de aplicação da lei em todo o mundo, identificou vários milhares de e-mails entregues em várias ondas na manhã de sábado. Os pesquisadores e analistas da organização acreditam que essas mensagens são apenas uma pequena parte de um ataque maior.
As mensagens fraudulentas pareciam ter sido enviadas do Law Enforcement Enterprise Portal do FBI usando um endereço de e-mail válido do FBI. Os analistas do Projeto Spamhaus verificaram que a origem era de fato dos servidores do Bureau, citando o IP real usado e as informações do cabeçalho do e-mail incluídas na mensagem. Acredita-se que o aviso falso, enviado para endereços legítimos retirados do banco de dados sem fins lucrativos do American Registry for Internet Numbers (ARIN), atingiu pelo menos 100.000 destinatários válidos.
Embora a mensagem não pareça incluir uma carga maliciosa, ela não perdeu tempo em tentar enquadrar um proeminente especialista em segurança cibernética para o evento. Vinny Troia, Ph.D., o fundador da empresa de inteligência dark web Shadowbyte, foi nomeado o ator da ameaça por trás do ataque falso. Não é a primeira vez que esse tipo de ataque o atinge. Em outro incidente recente envolvendo o site Centro Nacional para Crianças Desaparecidas, um invasor acessou o blog do site e deixou um post acusando Troia de ser um pedófilo.
Esses e-mails têm a seguinte aparência:
Envio de IP: 153.31.119.142 (https://t.co/En06mMbR88)
De: [email protected]
Assunto: Urgente: ator de ameaça em sistemas pic.twitter.com/NuojpnWNLh– Spamhaus (@spamhaus) 13 de novembro de 2021
O FBI divulgou um comunicado ao BleepingComputer indicando que nenhuma informação adicional está disponível no momento, mas pede aos destinatários que relatem atividades suspeitas quando identificados.
“O FBI e a CISA estão cientes do incidente esta manhã envolvendo e-mails falsos de uma conta de e-mail @ ic.fbi.gov. Esta é uma situação contínua e não podemos fornecer nenhuma informação adicional no momento. Continuamos a encorajar o o público deve ser cauteloso com remetentes desconhecidos e exortá-lo a relatar atividades suspeitas para www.ic3.gov ou www.cisa.gov. “
O ataque parece ser mais um em uma sequência realizada por um indivíduo (ou grupo) que atende pelo nome de “pompompurin”. Capturas de tela postadas na conta de mídia social de Troia comprovam suas afirmações anteriores de que ele normalmente recebe mensagens antes de qualquer ataque ou tentativa de desacreditar sua reputação. Além deste último incidente, Troia tem sido o alvo constante da comunidade de hackers RaidForums, que realizou vários ataques semelhantes no passado para desfigurar sites e danificar a credibilidade de Troia.
Crédito da imagem: Spamhaus
