Hackers estão usando documentos do Word para infectar computadores

Um grupo de hackers com supostas ligações ao governo da Rússia reviveu um antigo malware, que circula há alguns anos, capaz de identificar computadores e roubar dados a partir de uma praga baixada de documentos do Word. Mais uma vez, a porta de entrada é uma funcionalidade que permite a utilização de recursos online ou a atualização de textos a partir da internet.

Em uma campanha de ataques que circula por e-mail, a promessa é de informações sobre o recente atentado terrorista em Nova York, no qual um homem utilizou uma caminhonete para matar nove pessoas e ferir outras 11 em uma ciclovia de Manhattan. Ao ser executado, o arquivo .DOC pede duas autorizações, supostamente, para o sistema de macros, mas que, na verdade, abrem as portas do sistema operacional.

Após a confirmação, o arquivo realiza o upload de um malware conhecido como Sedupload, que é executado sem a anuência do usuário e realiza um perfil da máquina, enviando de volta aos hackers informações como localização geográfica, redes conectadas, IP e outros. Caso os dados se encaixem em grupos de interesse, um novo malware é baixado com o intuito de roubar dados.

O ataque faz uso de uma funcionalidade chamada Dynamic Data Exchange, ou DDE, que permite a inclusão de links para que os documentos possam ser atualizados caso novas informações apareçam. É um recurso bastante utilizado, por exemplo, em trabalhos que envolvem pesquisas numéricas em andamento ou em situações que ainda estão em desenvolvimento, uma vez que o acesso ao link determinado é feito diretamente pelo documento, sem a necessidade de o usuário clicar sobre ele.

Foi justamente a presença do Sedupload que voltou os olhos da Trend Micro, responsável pela emissão do alerta, ao grupo hacker Fancy Bear, que estaria associado ao governo de Vladimir Putin. Foram eles, por exemplo, os responsáveis pela invasão do Comitê Nacional do partido Democrata dos EUA, o que resultou, na reta final das eleições presidenciais americanas de 2016, no vazamento de e-mails e informações que depunham contra a então candidata Hillary Clinton.

O método utilizado para ataques também é o mesmo do passado, quando em maio, informações sobre a estratégia do presidente Donald Trump com relação ao Estado Islâmico e as tensões na Síria eram usadas como isca. Por depender de autorização, os macros normalmente passam batidos por softwares antivírus convencionais, sendo o usuário, então, a única barreira contra a praga.

Sendo assim, como indicam os especialistas, a única maneira de se manter protegido é evitar o acesso a documentos enviados por e-mail. Desconfie de anexos recebidos a partir de contatos desconhecidos ou que prometam revelações mirabolantes ou grandes ofertas, deletando as mensagens sem baixar os arquivos.

Caso a abertura de um documento desse tipo seja necessária, tome o cuidado de não conceder autorização à execução de macros – uma medida sugerida, inclusive, pela própria Microsoft diante de um aumento no uso dessa função para ataques. De acordo com a empresa, a execução de tais recursos só é permitida diante da confirmação, que caso não seja dada, fará com que o arquivo, mesmo aberto, não constitua perigo.

Fonte: Ars Technica