Publicidade

Windows 11 é isca de novos ataques por e-mail

Por| Editado por Jones Oliveira | 06 de Setembro de 2021 às 14h30

Link copiado!

Divulgação/Microsoft
Divulgação/Microsoft

A chegada do Windows 11 está sendo utilizada como isca para uma nova campanha de phishing que reutiliza métodos antigos em uma nova roupagem para instalar backdoors em computadores, principalmente, do setor corporativo. Os e-mails fraudulentos carregam um documento do Word que, quando aberto, indica uma possível incompatibilidade por terem sido criados no novo sistema operacional — é o meio, na verdade, de fazer com que os usuários abram portas e permitam a instalação do malware.

O alerta foi feito pela Anomali, uma empresa especializada em segurança digital, que aponta mais uma vez para o perigo de arquivos no formato DOCX com macros que carregam JavaScript e criam aberturas para os criminosos. Não é uma nova forma de ataque, apontam os especialistas, mas o formato tenta usar a curiosidade pelo novo sistema operacional como uma forma de atrair vítimas.

Isso se deve ao fato de os macros não serem executados de forma automática pelo Word e outros aplicativos do pacote Office justamente por serem perigos em potencial. A ideia de que o documento não pode ser aberto pois foi criado no Windows 11 — algo que não acontece de verdade — seria o caminho para fazer com que os usuários permitam o funcionamento do recurso e, com isso, também abram as portas para os criminosos.

Continua após a publicidade

De acordo com o relatório da Anomali, o formato é semelhante ao usado pelo grupo cibercriminoso FIN7, que já teve empresas do leste europeu como alvo principal, mas vem se expandindo pelo mundo. Atuante desde 2013, o bando de origem russa teria feito vítimas no setor hoteleiro, financeiro e de energia, além de agências governamentais. Mesmo sob atenção das autoridades globais, com direito a membros-chave sendo presos, a quadrilha continua atuando e já teria causado mais de US$ 1 bilhão em prejuízos.

O malware da campanha em si parece ter amplitude global, já que, de acordo com os especialistas, tem um comando que o apaga caso o sistema infectado esteja no idioma russo ou de outros países do leste europeu. Além disso, a praga é capaz de detectar quando está rodando em sistemas com menos de 4 GB de memória RAM ou máquinas virtuais, indicando o foco em servidores e sistemas mais robustos que possam estar operando em empresas de infraestrutura, servidores ou que lidem com alto volume de dados.

O alerta foi feito, principalmente, para as companhias do setor de varejo e hoteleiro, já que um sistema de ponto de venda da companhia estadunidense Clearmind parece ser o principal alvo. Com isso, os analistas apontam para a possibilidade de obtenção de dados financeiros de clientes e fornecedores, que possam ser usados em fraudes ou vendidos em lotes, a partir de fóruns voltados ao cibercrime.

Continua após a publicidade

A recomendação para as empresas é a emissão de avisos aos colaboradores e instruções quanto ao perigo de arquivos recebidos de fontes desconhecidas, mesmo que elas tentem se passar por empresas parceiras. Os e-mails fraudulentos, quando não detectados por plataformas de segurança, devem ser apagados sem que o conteúdo seja executado. Como o uso de vulnerabilidades conhecidas também pode ser um vetor, manter os sistemas sempre atualizados é um bom caminho para proteção.

Fonte: Anomali