Brecha no Windows é usada em nova campanha de distribuição de malware

Uma abertura em um sistema de alertas do Windows segue sendo utilizada para distribuição de arquivos maliciosos. Menos de uma semana depois de a Microsoft corrigir parte do problema, na última terça-feira (15), especialistas em segurança já alertam para uma nova campanha que entrega o malware Qbot, um dropper usado para contaminação inicial e entrega de diferentes tipos de ataques.

• Falha conhecida há mais de 10 anos é a mais explorada em ataques no Brasil
• Quatro medidas urgentes para aumentar a segurança de sua empresa

No centro da questão está o Mark of the Web (MotW, ou “marca da rede” em tradução), uma funcionalidade do Windows que exibe um aviso de perigo aos usuários na execução de arquivos baixados da internet. Até a mais recente atualização do sistema operacional, dados do tipo ISO, correspondentes a imagens de discos, não recebiam esse tratamento; mesmo com a mudança, os bandidos seguem aproveitando a brecha, agora aplicada a arquivos JS, em formato JavaScript.

A campanha descoberta pelo pesquisador em segurança Proxylife começa por e-mail, com uma mensagem do criminoso se passando por um parceiro comercial ou cliente, indicando o download de um pacote malicioso, com direito a senha para que não seja lido por softwares antivírus. O arquivo em formato ZIP traz outro dado compactado em seu interior e, finalmente, a imagem com os arquivos usados no ataque, renomeados para não chamarem a atenção de sistemas de segurança.

Ao ser montada no sistema, a ISO executa um código em JavaScript que é assinado com certificados manipulados, fazendo com que o Windows acredite se tratar de um arquivo legítimo. A mesma chave, inclusive, já foi usada em outras campanhas de ataques, mas isso não impede que o QBot seja executado e inserido na máquina, com uma DLL carregada a um processo legítimo do Windows como forma de se manter funcionando sem levantar suspeitas.

Trata-se de um vetor de contaminação inicial, que mais tarde, pode ser vendido a outros criminosos ou usados pelos responsáveis pela campanha em ataques posteriores. O QBot, em si, nasceu como um trojan bancário, mas sua transformação em dropper significa que ele pode ser usado para implantação de outras famílias de vírus, incluindo aqueles que roubam dados, detonam ransomwares ou permitem movimentação lateral por redes corporativas.

O que torna o mais novo ataque digno de atenção, além da técnica atual e que responde a atualizações recentes da Microsoft, é a ideia de que arquivos em JavaScript costumam ser usados em operações legítimas, o que pode aumentar sua eficácia. O ataque também mostra uma redução na dependência de atalhos do Windows, que vinha sendo a tática mais comum entre criminosos que realizam golpes a partir de imagens de disco.

Microsoft recomenda atualizar o Windows para evitar ataques

A atualização relacionada à exibição da marca da rede em arquivos ISO fez parte da mais recente terça-feira de atualizações do sistema operacional. A ideia da empresa, que também leva ao pedido de update ágil, tem a ver com o aumento no número de ataques usando esse vetor, com a nova versão resolvendo diferentes vias de intrusão desse tipo.

Como a própria empresa já havia adiantado na última semana, entretanto, o update é apenas o começo, como a descoberta de uma nova tática na mesma semana demonstra claramente. Por isso, além da atualização que já está disponível a todos os usuários dos Windows 10 e 11, o pedido é de atenção, principalmente, aos usuários corporativos no download e execução de arquivos.

Ainda que o método seja relativamente inédito, o vetor inicial não é. A cautela com arquivos recebidos por e-mail, então, é fundamental para evitar ataques. Os trabalhadores devem se certificar de que os dados são oriundos de fontes e contatos legítimos antes de baixar e executar os arquivos, além de desconfiar de documentos e comprovantes que venham em formatos pouco usuais, como é o caso das imagens em disco.