Microsoft Excel segue como isca para infecção pelo vírus TrickBot
Por Felipe Demartini • Editado por Claudio Yuge |
O uso de arquivos do Excel segue como a coqueluche do mundo cibercriminoso, principalmente no que toca a contaminação de redes corporativas, e não seria diferente para o trojan TrickBot. A praga, que permite movimento lateral e pode servir como porta de entrada para novos ataques, está sendo disseminada com o uso de dados no formato CSV, que têm aparência simples e direta, mas acabam escondendo elementos maliciosos quando abertos no aplicativo da Microsoft.
- Governo dos EUA alerta para ciberataques durante Olímpiadas de Inverno
- Zero trust, IA e adaptação são soluções de segurança para ameaças crescentes
O formato é bastante utilizado para a portabilidade de arquivos entre diferentes soluções, já que os valores separados em vírgulas permitem a organização dos dados em planilhas ou conversam bem com apps de monitoramento. Por trás disso, porém, está o mau uso de um recurso chamado DDE, que no Excel, permite a troca dinâmica de informações e abre as portas para a execução de códigos maliciosos que baixam os trojans BazarLoader ou BazarBackdoor.
Mesmo alertas exibidos sucessivamente pelo Excel não estariam sendo suficientes para interromper a disseminação. Os criminosos usam e-mails corporativos como vetor, se passando por parceiros comerciais ou clientes e enviando planilhas de dados ou documentação; dentro, está o caminho para a contaminação, com o download de um arquivo DLL que vem disfarçado como imagem e instala as pragas no PC da vítima.
De acordo com a AdvIntel, empresa de segurança responsável pelo alerta, mesmo com o formato simples da contaminação, ela estaria sendo capaz de fazer vítimas, com 102 redes corporativas ou governamentais infectadas nos primeiros dois dias de observação. A partir da instalação do BazarLoader, podem se seguir movimentações laterais pela rede e ataques envolvendo roubo de dados, ransomware ou o download de mais soluções maliciosas.
Por outro lado, vale a principal recomendação de segurança atual, para que colaboradores e administradores prestem atenção em arquivos que usem o Excel e, mais recentemente, o PowerPoint. O ideal é ignorar e-mails que cheguem de fontes desconhecidas ou tentem se passar por colegas, parceiros ou clientes, com o acesso sendo feito apenas caso o usuário tenha certeza da procedência do arquivo.
Manter sistemas operacionais e plataformas de segurança, assim como as próprias aplicações, sempre atualizadas também ajuda a mitigar o problema. Tais atitudes podem impedir a disseminação de ameaças mais comuns e exibir alertas de segurança em caso de comportamento inadequado, aumentando o poder de defesa em caso de um vacilo do ponto de vista da segurança.
Fonte: Bleeping Computer