Cibercriminosos usam técnica simples e muito eficaz para espalhar malware em PCs

Uma pesquisa mostrou que grupos de criminosos virtuais patrocinados por estados-nação estão usando uma técnica simples, porém eficaz, para espalhar ameaças e roubar informações confidenciais em sistemas de outros países.

• Criminosos podem adivinhar os dados do seu cartão de crédito em seis segundos
• Linux é alvo de mais uma ameaça que dribla detecção e rouba dados de e-commerce

Segundo os pesquisadores da Proofpoint, grupos de ameaças persistentes avançadas (APT, em inglês), trabalhando com a China, Rússia e Índia, estão usando o método de alteração de template de arquivos RTF, que permite que esses documentos se comuniquem com um endereço de controle dos golpistas e baixem vírus, para assim infectar as máquinas das vítimas.

Arquivos RTF são documentos de texto que podem ser abertos pelo Microsoft Word e outros editores, que contam com templates, compostas por dados que permitem que os softwares identifiquem a formatação que o conteúdo deve ser exibido.

Por conta de sua simplicidade, principalmente quando comparado a outros tipos de ataques virtuais, como os que dependem de vulnerabilidades de dia zero; e por sua menor detecção por antivírus, que por padrão não escaneiam arquivos RTF por eles fazerem parte do dia a dia das empresas; esse método está sendo bastante usado pelos criminosos.

É importante notar que só baixar o anexo RTF não é o suficiente para infectar as máquinas. O arquivo também precisa de alguns privilégios de sistema, que são normalmente obtidos através de métodos de engenharia social dos criminosos, como mensagens no corpo do e-mail explicando que o documento deve ter acessos específicos para exibir as informações.

Detectados desde fevereiro

A pesquisa da Proofpoint afirma que a primeira campanha detectada usando anexos RTF é datada de fevereiro de 2021. Elas foram feitas pelo DoNot Team, um grupo de ameaças avançadas persistentes ligado com o governo da Índia.

Outro exemplo dessas ameaças foram detectadas em setembro, quando entidades da Malasia relataram que o setor de energia do país foram vítimas de uma campanha feita pelo grupo Leviathan, ligado ao governo chinês, e tiveram dados roubados.

Por fim, em outubro, o grupo Gamaredon, com conexões ao Serviço de Segurança Federal da Rússia, usaram arquivos RTF enviados em e-mails disfarçados como comunicações oficais do Ministro da Defesa da Ucrania para roubados do país.

Com esses exemplos, a Proofpoint acredita que pela facilidade e efetividade deste método de ataque, é possível que no futuro mais criminosos e países comecem a adotar esse tipo de campanha maliciosa.

Para proteção contra a ameaça, os pesquisadores da Proofpoint recomendam sempre analisar com antivírus os arquivos RTF que chegaram por e-mails não solicitados, e também manter o Microsoft Office sempre atualizado com as últimas melhorias de segurança.

Fonte: ProofPoint