Publicidade

Novo golpe infecta PCs ao passar o mouse sobre um link

Por| Editado por Claudio Yuge | 27 de Setembro de 2022 às 16h20

Link copiado!

Nghia Nguyen/Unsplash
Nghia Nguyen/Unsplash

Um novo método de infecção de PCs não depende de arquivos executáveis ou nem mesmo macros do pacote Office, bastando que o usuário passe o mouse sobre um link para que a cadeia de contaminação comece. O ataque, associado a um grupo cibercriminoso russo, utiliza uma apresentação do PowerPoint e o nome da OCDE (Organização para a Cooperação e Desenvolvimento Econômico) para fazer vítimas de alto escalão.

O documento malicioso chega como um convite para participar de uma reunião da organização; em anexo, estariam instruções para entrar em uma reunião do Zoom. Quando aberta, a apresentação contém um link que realiza a infecção, bastando que o usuário passe o mouse sobre ele, mesmo que rapidamente e sem perceber, para que um script PowerShell malicioso seja ativado e baixe arquivos maliciosos, que alteram o registro do Windows e estabelecem permanência na máquina.

Todo o golpe acontece de forma furtiva, a partir do download de imagens no formato JPEG, mas que trazem os arquivos maliciosos em seus metadados. O malware servido é o Graphite, que chega a partir de uma conta no OneDrive e abusa de serviços do Windows para se comunicar com um servidor de controle, de onde recebe comandos e para o qual envia informações coletadas no computador.

Continua após a publicidade

Empresas com ligações com o governo, bem como a própria administração pública, são o alvo da campanha direcionada de ataques, associada a um bando a serviço da Rússia. O APT28, que também atende pelo nome de Cozy Bear, é conhecido do noticiário de segurança, já tendo realizado operações semelhantes contra instituições oficiais; a nova campanha estaria em andamento desde o final de agosto.

Novo golpe para PC é sofisticado

De acordo com a empresa de inteligência de ameaças Cluster25, entretanto, se trata de um golpe bem planejado, uma vez que alguns dos domínios usados para o disseminar foram criados entre janeiro e fevereiro deste ano. Menos de 10 ocorrências foram registradas, três em 25 de agosto e outras cinco em 09 de setembro, todas na União Europeia e leste da Europa, novamente indicando um ataque altamente direcionado.

Continua após a publicidade

Além disso, os especialistas indicam essa como uma tática nova no portfólio de ameaças do Cozy Bear, ainda que a ideia de contaminações por meio da passagem do mouse não seja efetivamente inédita. Casos assim vêm sendo apontados desde junho de 2017 por pesquisadores em segurança, mas não é comum ver esse tipo de ofensiva acontecendo de forma ampla.

Apesar do método diferenciado, o vetor de comprometimento segue parecido. A principal recomendação de segurança é a de sempre: não clicar em links desconhecidos e somente baixar arquivos de contatos legítimos, quando se tem certeza da origem do arquivo. Manter sistemas operacionais e aplicativos atualizados, assim como usar uma boa solução de segurança, também ajuda na proteção.

Fonte: Cluster25