Foto com vírus: falha no Excel esconde malware perigoso em imagem JPEG

Uma nova campanha de phishing vem explorando uma vulnerabilidade do Excel para disseminar um trojan de acesso remoto (RAT) para usuários de computadores com Windows. O malware chega até os usuários por meio de arquivos no formato JPEG.

• Primeiro malware que usa IA generativa em ataques no Android é descoberto
• Remetente legítimo, conteúdo falso: como identificar golpes dentro do Teams

Batizado de “XWorm 7.2”, o malware chega até os PCs camuflado, como se fosse um simples arquivo do Excel enviado por e-mail. Nas mensagens, o usuário se depara com solicitações de pagamento ou documentos bancários que, na verdade, não existem.

De acordo com especialistas da Fortinet, os golpistas apostam na legitimidade de processos corporativos para montar a armadilha, criando o cenário perfeito para que a vítima acredite no golpe. O objetivo é disseminar o trojan para obter controle total da máquina e, dessa maneira, roubar senhas e chaves de Wi-Fi.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

O software malicioso existe desde 2022, mas a versão mais recente, que surgiu em lojas do Telegram, identificada pelos pesquisadores demonstra uma evolução preocupante por ser mais avançada e sofisticada que a anterior.

Os bastidores da armadilha

Apostando em engenharia social para que o e-mail pareça urgente, os hackers enviam mensagens burocráticas aos usuários para tentar fisgá-los por meio de documentos, consultas comerciais e pedidos de compra.

Enquanto o corpo do texto parece inofensivo, o anexo conta com um arquivo em Excel que, uma vez aberto, explora uma vulnerabilidade do sistema que desencadeia um efeito em cascata no Windows. Isso é feito por meio da execução de um script oculto que, a partir do PowerShell, instala uma foto do tipo JPEG aparentemente normal.

Porém, é justamente essa imagem que carrega o XWorm 7.2, infectando a máquina com o malware. O software malicioso, por sua vez, ativa o “Msbuild.exe”, um programa legítimo do Windows, interrompendo sua execução para pagar o código interno. O código, então, é substituído pelo vírus.

Como o processo é feito por meio de ferramentas legítimas, nem mesmo um aplicativo de segurança, como um antivírus, consegue identificar que há algo suspeito acontecendo no sistema.

Roubo de credenciais

Os pesquisadores identificaram durante as investigações do caso que os hackers conseguem adicionar mais de 50 plugins maliciosos no PC para aumentar o alcance da operação. Dessa forma, os criminosos obtêm acesso rápido e silencioso a informações sensíveis das vítimas, principalmente senhas e chaves de Wi-Fi.

O malware ainda possibilita a coleta de cookies do navegador visado, assim como espiona a vítima por meio da webcam ou do registro das teclas pressionadas. Também há recursos integrados de ransomware para lançar ataques de negação de serviço distribuída (DDoS).

Devido à complexidade do software malicioso, ele é extremamente difícil de ser removido. A ocultação do malware no sistema também dificulta sua detecção.

Leia também:

• Páginas falsas de CAPTCHA enganam usuários para instalar malware
• 1 bilhão de Androids vulneráveis: como saber se você está em risco
• 287 extensões do Chrome estão roubando dados de 37 milhões de usuários

Fonte: Hack Read