Publicidade

Praga virtual tenta abusar de recurso do Microsoft Excel para roubar dados

Por| Editado por Claudio Yuge | 25 de Março de 2022 às 15h20

Link copiado!

Divulgação/Microsoft
Divulgação/Microsoft

Uma nova campanha de contaminação de sistemas corporativos tenta abusar de um recurso de importação de dados para o Excel como forma de instalar um malware que rouba dados das vítimas. É um formato de comprometimento relativamente incomum, atrelado a uma dinâmica de distribuição de spam que tem como objetivo abrir portas de entradas nas redes das empresas, com o furto das informações sendo apenas a primeira etapa.

A praga em questão é o JSSLoader, que vem circulando desde dezembro do ano passado e tem ligações a um grupo cibercriminoso russo chamado Carbanak. Ele chega às possíveis vítimas em um arquivo do Excel nos formatos XLL ou XLM, que serve como uma espécie de adição ao software de planilhas, permitindo o uso de ferramentas, dados e soluções de terceiros dentro dos documentos.

Os suplementos são, originalmente, arquivos DLL “adaptados” para funcionarem no Excel, o que torna a exploração possível e, quem sabe, permita evadir a detecção por sistemas de segurança. Como esse tipo de importação costuma ser comum em algumas organizações, sempre existe a possibilidade de o usuário ignorar alertas de segurança exibidos no Windows, pelo fato de o documento não estar assinado digitalmente.

Continua após a publicidade

Caso a contaminação tenha sucesso, o JSSLoader passa a se comunicar com um servidor sob o controle dos criminosos, enviando informações do sistema e recebendo ordens que também envolvem o download e mais pragas, atualizações automáticas com novos recursos e o estabelecimento de persistência. Todas as ações são realizadas de forma furtiva, com o trojan sendo programado para esconder seus parâmetros e tentar ao máximo se passar como um software legítimo.

O alerta sobre a campanha maliciosa foi feito pela empresa de segurança digital Morphisec, que aponta uma praga capaz de se manter escondida até mesmo de sistemas de proteção mais avançados. Os especialistas dizem ter detectado campanhas em que os criminosos do Carbanak permaneceram com acesso oculto ao sistema por semanas, período que permitiria o lançamento de golpes ainda mais avançados ou a simples exfiltração de dados confidenciais por um longo período de tempo.

Com tudo isso, a Morphisec categoriza a campanha envolvendo o JSSLoader como preocupante, principalmente em um ambiente tensionado pela guerra entre Rússia e Ucrânia. A recomendação é que os usuários tomem cuidado com arquivos anexos e não ignorem recomendações de segurança dos sistemas, além de investirem em sistemas corporativos de segurança e monitoramento de redes.

Continua após a publicidade

Fonte: Morphisec