Novo malware se espalha através de documentos do Word

Os cibercriminosos brasileiros estão se preparando cada vez mais para realizar seus ataques. Os trojans que antes vinham em arquivos .exe ou em arquivos zipados, agora podem vir contidos dentro de um arquivo de texto do Word.

A empresa de antivírus Kaspersky Lab detectou um novo tipo de malware dentro de um arquivo do Office, mais especificamente um arquivo RTF que chega anexo a uma mensagem de e-mail. Através da distribuição de um arquivo RTF malicioso, os criminosos esperam infectar a vítima que abrir o arquivo, usando como vetor de instalação de trojans bancários. O e-mail chega com o título “Comprovante Internet Banking”.

Se o usuário abrir o arquivo, verá uma tela como essa abaixo, pedindo que ele clique duas vezes na imagem para abrir.

Ao abrir, ele será perguntado se deseja executar um arquivo .CPL. Basta executar o arquivo para a infecção começar.

O arquivo CPL está inserido dentro do arquivo RTF. Mesmo tendo a extensão CPL (Control Panel Library), trata-se de um arquivo executável, pois os editores de textos (como Word e WordPad) permitem a inserção de objetos no documento, que podem ser executáveis.

O arquivo CPL em questão é um trojan bancário da família Trojan.Win32.ChePro. Depois de executado, ele irá baixar diversos outros arquivos para o sistema da vítima e instalar a infecção. O uso dessa técnica permite aos cibercriminosos burlar os filtros de e-mail por extensões de arquivos, visto que raramente arquivos DOC e RTF são bloqueados.

A empresa ainda alerta que esse tipo de técnica passará a ser usada com mais frequência entre os cibercriminosos brasileiros – por isso é sempre bom manter seu antivírus atualizado e prestar atenção nos arquivos anexos baixados pelos e-mails.