Velho truque usado no Brasil é isca para infectar PCs com Windows

Velho truque usado no Brasil é isca para infectar PCs com Windows

Por Felipe Demartini | Editado por Claudio Yuge | 11 de Fevereiro de 2022 às 20h20
Windows/Unsplash

Criminosos digitais estão recorrendo a um truque antigo, com mais de quatro anos de existência, para intensificar as contaminações envolvendo duas categorias de malware, o Qbot e o Lokibot. Os alvos das campanhas são os sistemas corporativos, contaminados a partir de macros presentes em arquivos do Office, enquanto o método de infecção é um que já foi usado em ondas de infecção focadas no Brasil.

Trata-se do regsvr32, um utilitário de linha de comando usado para fazer alterações no registro do Windows, principalmente envolvendo DLLs e controles ActiveX. No caso da exploração maliciosa, batizada de Squiblydoo, entretanto, o sistema é usado para catalogar arquivos na memória, que servem como porta de entrada para os malwares que roubam credenciais e dados pessoais.

De acordo com a empresa especializada em segurança Uptyck, o método que vinha dormente e registrando pouquíssimas detecções nos últimos anos teve um aumento brusco em dezembro do ano passado. O crescimento, entretanto, já vinha desde novembro, enquanto janeiro de 2022 registrou números menores, mas ainda assim significativos e indicadores de uma campanha maliciosa em andamento.

Gráfico mostra crescimento significativo no volume de infecções com Squiblydoo; técnica usada com foco no Brasil evoluiu com arquivos do Office como vetor (Imagem: Reprodução/Uptycs)

A tática é semelhante à que tem sido vista desde 2017, quando postagens do Facebook eram usadas para disseminar as pragas, com foco no roubo de dados de usuários da rede social — brechas em aplicativos também já foram exploradas de maneiras semelhantes. Adaptando a estratégia a novos tempos, como dito, os criminosos da vez usam arquivos do Excel e PowerPoint, a partir de e-mails e mensagens de phishing, como forma de obter intrusão em redes corporativas.

Como o regsvr32 é uma ferramenta real do Windows, a exploração pode evadir sistemas de segurança. Por isso, a recomendação dos especialistas é de cuidado quanto a e-mails fraudulentos e arquivos que cheguem por esses meios, assim como a atenção para que a execução de macros do Office não seja permitida — um recurso que, inclusive, está prestes a receber bloqueios adicionais pela própria Microsoft, justamente para coibir a ascensão de ataques contra corporações.

Fonte: Uptycs

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.