Campanha mistura documentos em PDF e do Word para instalar vírus que rouba dados

Uma nova campanha maliciosa contra usuários corporativos está usando uma mistura de arquivos nos formatos PDF e Office para confundir usuários, induzindo à instalação de um vírus que rouba dados e o que é digitado no teclado. As mensagens chegam por e-mail, que vem sendo distribuídos em massa pelos cibercriminosos, e tenta escapar da detecção por antivírus para obter informações sigilosas.

• Como identificar se um site é uma tentativa de phishing?
• 1/3 das campanhas de phishing duram menos tempo do que as pessoas imaginam

É um método diferente do usual, mas que já vinha sendo detectado por empresas de segurança como uma forma de disseminar links maliciosos. Na campanha identificada pela HP, porém, o método aparece vinculado a um arquivo em formato do Word, com uma caixa de diálogo que aparece automaticamente no momento da execução do PDF e ainda acompanha uma mensagem afirmando que os dados foram verificados, como mais uma maneira de induzir o usuário a aceitar.

A promessa de visualização de uma fatura ou comprovante de pagamento, na mensagem, leva à abertura de um arquivo em formato DOCX, que por sua vez, contém macros que fazem o download de outro, em versão RTF, que possibilita o download e instalação do Snake Keylogger. A praga vem de servidores controlados pelos criminosos e utiliza um editor de equações do Windows para executar códigos remotamente, que permitem a implantação da praga e também suas tarefas de evasão.

Escondido de softwares de segurança, o vírus passa a registrar tudo o que é digitado pelo usuário, além de tentar obter informações de arquivos e dados disponíveis no PC. As informações são enviadas de volta a servidores controlados pelos criminosos e podem servir como arma para novos ataques, inclusive contra redes corporativas para espionagem, furto de informações e instalação de novas pragas.

Chamou a atenção dos especialistas da HP o fato de a brecha utilizada pelos criminosos ser antiga, descoberta e solucionada em novembro de 2017. Ainda assim, a lentidão na atualização do Windows pelos usuários levou a CVE-2017-11882 a ser uma das vulnerabilidades mais exploradas de 2018 e, ao que parece, continua sendo um foco de atenção, principalmente em campanhas pouco sofisticadas, que usam e-mails disseminados em massa.

Sendo assim, a instalação dos updates do sistema operacional é o melhor caminho para evitar problemas. Além disso, vale a atenção de sempre quanto a e-mails fraudulentos, principalmente em um caso fora do usual como esse, em que um arquivo aparece dentro de outro como forma de induzir as vítimas ao clique.

Prestar atenção em remetentes e domínios, bem como evitar arquivos anexo a não ser que tenha certeza da procedência, também são bons caminhos para evitar cair em golpes desse tipo. Vale a pena, ainda, manter softwares antivírus sempre ativos e atualizados no PC, já que eles ajudam a identificar as ameaças mais comuns.

Fonte: HP Threat Research