Arquivos do PowerPoint são isca de nova campanha de roubo de dados

Um agente antigo de ataques para roubo de dados e credenciais salvas está utilizando documentos do PowerPoint para se espalhar pelas redes corporativas. Na nova campanha, as apresentações voltam a ser o vetor, com o uso de macros que realizam alterações do registro do Windows para obter persistência e baixar programas maliciosos a partir de servidores de nuvem legítimos, enquanto desabilitam programas de segurança para aumentar sua permanência nas máquinas contaminadas.

• Mais de dois terços dos malware de 2021 vieram de aplicações em nuvem
• PowerPoint é usado por criminosos para espalhar arquivos maliciosos

Trata-se de uma combinação de técnicas não necessariamente novas, assim como o próprio malware entregue pelos ataques, mas cuja persistência mostra sucesso no comprometimento de redes corporativas. A nova campanha de golpes disseminados em massa está em andamento desde dezembro, tendo o conhecido Agent Tesla e o Warzone, também conhecido como AveMaria, como as pragas da vez.

Enviados em e-mails de phishing e tentando se passar por conversas em andamento com parceiros comerciais ou contatos, os documentos maliciosos contêm macros que se aproveitam de recursos do Windows para realizar mudanças no registro. A partir destes comandos, acontece o desligamento do Defender, bem como o download das soluções maliciosas, assim como o agendamento de tarefas que pode levar a novas contaminações.

De acordo com o alerta do Netskope Threat Labs, laboratório de segurança digital responsável pela divulgação, o foco está no Agent Tesla, praga voltada ao roubo de credenciais salvas nos navegadores e o registro de dados digitados ou copiados para a área de transferência que circula desde 2014. De hora em hora, a praga se conecta a servidores sob o controle dos criminosos, podendo baixar novos malwares, incluindo um capaz de acessar carteiras de criptomoedas e transferir fundos diretamente aos bandidos.

Apesar deste foco, os especialistas apontam um aumento significativo nos casos de infecção por ladrões de dados, acima dos mineradores de moedas digitais que vinham se tornando comuns nos últimos meses. O alerta também aponta uma tendência de aumento no uso de apresentações do PowerPoint, em contraste com as planilhas do Excel que serviam como vetores centrais dos ataques a sistemas corporativos ao longo de todo o ano de 2021.

A recomendação, como sempre, é de atenção quanto a documentos desse tipo, principalmente se forem recebidos de fontes desconhecidas. Por mais que sejam ataques comuns e, muitas vezes, detectados por sistemas de segurança, redes menos protegidas também podem estar suscetíveis, com a cautela ao executar dados recebidos em anexo sendo o melhor caminho para manter a segurança.

Como se trata de uma ameaça que busca a persistência, o Netskope Threat Labs também divulgou indicadores de comprometimento que permitem a análise da rede em busca de contaminações pelos malwares citados. As informações incluem, inclusive, as carteiras de criptomoedas que estão sendo usadas pelos golpistas para a transferência de valores furtados.

Fonte: Netskope Threat Labs