Publicidade

Golpe do "documento sigiloso": hackers usam passaportes falsos para invadir PCs

Por  • Editado por Jones Oliveira | 

Compartilhe:
Deeba Ahmed/HackRead.com
Deeba Ahmed/HackRead.com

A Blackpoint Cyber descobriu uma campanha de spear phishing mirando em executivos e funcionários de alto escalão, explorando a confiança dos usuários em documentos sensíveis. Isso inclui documentos certificados falsos, scans de passaportes e arquivos de pagamento, usando sua familiaridade para fazer com que os anexos sejam abertos sem desconfiança.

Em um dos casos estudados, o malware foi entregue por um arquivo ZIP, imitando a rotina de trabalho executiva e incluindo até mesmo verificação de identidade e aprovação de pagamento. O arquivo parece uma compactação normal, mas importante, levando à confiança de que é legítimo.

Uso de atalhos Windows e living off the land

Canaltech
O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia
Continua após a publicidade

Dentro do arquivo ZIP, ao invés de documentos reais, há atalhos do Windows (.lnk) que, quando clicados, rodam um PowerShell que baixa arquivos maliciosos do site hp05.com/gwt/ instantaneamente. O arquivo é renomeado para parecer uma apresentação de PowerPoint, evitando suspeitas. Na verdade, é um DLL que aproveita o rundll32.exe do Windows para se camuflar no sistema.

Esse tipo de ataque é conhecido como living off the land — “viver da terra”, em tradução livre, uma alusão ao fato de que age como uma operação normal do sistema, o que permite contornar ferramentas de segurança. Na última etapa, é estabelecida conexão com o endereço faw3.com, em posse dos hackers, que age como centro de comando e controle (C2). Assim, é concedido acesso remoto ao computador, visualização dos arquivos e entrega de outros programas maliciosos.

Segundo os especialistas, uma das características mais interessantes é a capacidade de verificação de antivírus: o malware checa se o computador possui alguns dos programas de segurança mais comuns, como AVG, Avast, Bitdefender ou Kaspersky, buscando por processos como avgui ou bdagent. Assim, caso exista antivírus, é rodado o programa BD3V.ppt, do contrário, NORMVM.ppt

O uso de atalhos do Windows não é novidade, mas o spear phishing se disfarçando de documentos sensíveis direcionados é. A engenharia social envolvida deixa o ataque muito mais convincente, o que exige cada vez mais atenção dos usuários: cuide para não abrir atalhos sem verificar antes do que se trata, se veio de um remetente confiável e se há uma alternativa para obter o arquivo.

Leia também:

VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts

Continua após a publicidade

Fonte: Blackpoint Cyber