Golpe do "documento sigiloso": hackers usam passaportes falsos para invadir PCs
Por Lillian Sibila Dala Costa • Editado por Jones Oliveira |
A Blackpoint Cyber descobriu uma campanha de spear phishing mirando em executivos e funcionários de alto escalão, explorando a confiança dos usuários em documentos sensíveis. Isso inclui documentos certificados falsos, scans de passaportes e arquivos de pagamento, usando sua familiaridade para fazer com que os anexos sejam abertos sem desconfiança.
- O que é phishing e como se proteger?
- O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
Em um dos casos estudados, o malware foi entregue por um arquivo ZIP, imitando a rotina de trabalho executiva e incluindo até mesmo verificação de identidade e aprovação de pagamento. O arquivo parece uma compactação normal, mas importante, levando à confiança de que é legítimo.
Uso de atalhos Windows e living off the land
Dentro do arquivo ZIP, ao invés de documentos reais, há atalhos do Windows (.lnk) que, quando clicados, rodam um PowerShell que baixa arquivos maliciosos do site hp05.com/gwt/ instantaneamente. O arquivo é renomeado para parecer uma apresentação de PowerPoint, evitando suspeitas. Na verdade, é um DLL que aproveita o rundll32.exe do Windows para se camuflar no sistema.
Esse tipo de ataque é conhecido como living off the land — “viver da terra”, em tradução livre, uma alusão ao fato de que age como uma operação normal do sistema, o que permite contornar ferramentas de segurança. Na última etapa, é estabelecida conexão com o endereço faw3.com, em posse dos hackers, que age como centro de comando e controle (C2). Assim, é concedido acesso remoto ao computador, visualização dos arquivos e entrega de outros programas maliciosos.
Segundo os especialistas, uma das características mais interessantes é a capacidade de verificação de antivírus: o malware checa se o computador possui alguns dos programas de segurança mais comuns, como AVG, Avast, Bitdefender ou Kaspersky, buscando por processos como avgui ou bdagent. Assim, caso exista antivírus, é rodado o programa BD3V.ppt, do contrário, NORMVM.ppt.
O uso de atalhos do Windows não é novidade, mas o spear phishing se disfarçando de documentos sensíveis direcionados é. A engenharia social envolvida deixa o ataque muito mais convincente, o que exige cada vez mais atenção dos usuários: cuide para não abrir atalhos sem verificar antes do que se trata, se veio de um remetente confiável e se há uma alternativa para obter o arquivo.
Leia também:
- Criptografia para iniciantes: o que é e por que é importante?
- O que é firewall e como ele funciona?
- O que é uma vulnerabilidade de dia zero (Zero-Day)?
VÍDEO | O QUE É PHISHING? SAIBA COMO SE PROTEGER! #Shorts
Fonte: Blackpoint Cyber