Malware usa arquivos em PDF e scripts do Windows em ataques contra empresas

Uma nova tática de disseminação por arquivos está sendo usada por cibercriminosos para disseminar o malware QBot contra redes corporativas. Usando respostas a e-mails cujas caixas foram comprometidas, os bandidos enviam supostos arquivos no formato PDF que, na realidade, escondem scripts do Windows que são usados para o download e instalação de pragas que promovem o acesso inicial aos sistemas infectados.

• Como identificar golpes online via e-mail ou páginas falsas?
• Quais são as iscas de golpes por e-mail que enganam mais gente?

Na nova cadeia de exploração, o foco está na movimentação lateral pelas redes comprometidas, com o QBot buscando outras máquinas a serem comprometidas e abrindo as portas para golpes que podem envolver, principalmente, o roubo de dados e ataques de ransomware. A abertura também passa a fazer parte de redes de venda de explorações, com pragas conhecidas como Cobalt Strike e Brute Ratel já tendo sido detonada por esses meios.

Os detalhes da nova campanha maliciosa aparecem em publicação do grupo Cryptolaemus, que alertou no Twitter sobre a nova cadeia de infecção. A ideia dos bandidos, é manter a furtividade a partir do uso de conversas em andamento, com os e-mails sendo traduzidos automaticamente em diferentes idiomas, de acordo com a sequência de e-mails a ser utilizada para disseminação.

A aposta é na desatenção dos usuários pelo fato da conversa estar em andamento. O falso PDF vem em anexo e, ao ser aberto, exige o clique em um link que baixa um arquivo ZIP de um servidor sob o controle dos criminosos; dentro, está o script do Windows, em formato WSF, que ao ser executado, utiliza códigos em JScript e VBScript para baixar o QBot nas máquinas comprometidas, a partir do PowerShell e diferentes links de sites controlados pelos bandidos.

Há ainda um outro elemento de furtividade, com o ataque se escondendo em um processo legítimo do Windows, voltado ao gerenciamento de erros do sistema operacional. Ele permanece rodando em segundo plano, sempre que uma conexão com a internet estiver ativa, enquanto aguarda novos comandos do servidor de controle para o download de novas ameaças para o computador.

A variedade de métodos explica a popularidade do QBot, malware que é líder no ranking de ameaças global desde o final do ano passado. O ataque usando scripts do Windows é mais um na árvore de habilidades de criminosos que representam mais de um em cada cinco golpes registrados no Brasil, bem como 10% do volume global de atividade cibercriminosa, de acordo com os dados da empresa de cibersegurança Check Point.

Indicadores de comprometimento e URLs usadas nas explorações foram disponibilizadas pelos pesquisadores, com a indicação aos administradores sendo o bloqueio de domínios e treinamentos para que usuários não caiam em golpes por e-mail. Em caso de contaminação confirmada, a recomendação é desconectar a máquina invadida e realizar uma varredura na rede em busca de mais dispositivoa que possam ter sido comprometidos.