O Macro Malware voltou

Por Vincent Weafer*

"Aviso: este documento contém macros". Uma mensagem conhecida na década de 90 voltou, pois os cibercriminosos encontraram novas maneiras de induzir as pessoas a abrirem documentos que contêm macro malwares. Esta ameaça atualizada é dirigida aos usuários de empresas de grande porte que utilizam macros com frequência. E-mails cuidadosamente trabalhados, com engenharia social, induzem os usuários a abrirem documentos aparentemente legítimos e, depois, ativar o macro. Segundo o mais recente Relatório do McAfee Labs sobre Ameaças, os incidentes com macros mal-intencionadas quadruplicaram no último ano.

Os alvos mais frequentes do macro malware são documentos do Microsoft Office, especialmente os arquivos do Word. O Word permite que os macros sejam executados automaticamente, por exemplo, quando um usuário abre um documento, o fecha ou cria um novo documento. Esses comandos são normalmente utilizados por macros legítimos e mal-intencionados.

O caminho para uma infecção de sistemas de ampla escala, através de macro malware, geralmente começa com um anexo de e-mail feito para parecer legítimo, muitas vezes socialmente projetado de acordo com o usuário-alvo. Entre os assuntos mais comuns estão frases como solicitação de pagamento, notificação de correio, currículo, nota fiscal de venda e confirmação de doação. O texto do e-mail corresponde ao assunto, com informações suficientes para fazer com que o anexo seja aberto, inclusive assinaturas e logotipos com aparências oficiais.

Depois que ele for aberto, os recursos de segurança do Microsoft Office avisam o usuário que o arquivo contém macros e perguntam se ele quer ativá-las. Alguns desses arquivos têm textos extensos, afirmando que são protegidos e que devem ser ativados para que eles sejam lidos. Se o usuário clicar em "Ativar", o código malicioso é executado, instalando um programa para baixar no sistema o malware que trará a carga real, e depois, na maioria das vezes exclui a si mesmo. O código malicioso também pode ser incorporado ao documento como um Objeto Ativo, que também gera avisos quando clicado, mas é possível que muitos usuários não estejam familiarizados com o potencial de ameaça desses arquivos.

Uma das maiores mudanças nos macro malwares, desde a última grande infestação, é a sua atual capacidade de se esconder, dificultando muito a sua detecção. Os criadores de macro malwares adotaram diversas técnicas de outros tipos de malware, entre elas, a inclusão de código de "lixo" e escrevendo strings criptografadas complexas. O código de "lixo" é apenas isso, um código que não é para ser executado, mas pode ser facilmente gerado e alterado frequentemente para derrotar os algoritmos de detecção de assinaturas e confundir os pesquisadores de ameaças. Mais complicado é a utilização de várias funções simples, tais como conversão de caracteres, para ocultar a URL mal-intencionada de gateways de e-mail e de varreduras de palavras-chave de malware.

A simplicidade e facilidade de codificação dos macros as torna acessíveis a uma ampla gama de criminosos com pouco conhecimento tecnológico. Por isso, o possível alcance e a possível eficácia dos macro malwares significam que as empresas devem reeducar os usuários sobre essa ameaça. Além disso, o sistema operacional e os aplicativos devem ser mantidos atualizados, e as configurações de segurança de macros de todos os produtos do Microsoft Office devem ser definidas como Alta. Os aplicativos de e-mail não devem abrir automaticamente os anexos. Os gateways de e-mail e scanners de vírus também devem ser configurados para procurar e filtrar anexos de e-mail que contenham macros.

*Vincent Weafer é vice-presidente do Intel Security Group