Malware enviado por Word não usa macro para infecção e passa pelos sistemas de proteções tradicionais

Malware enviado por Word não usa macro para infecção e não é detectado pelos sistemas de proteções tradicionais, dizem pesquisadores.

Normalmente, os ataques via emails incluem anexos maliciosos do Microsoft Office e requerem uma criativa engenharia social para enganar os usuários e levá-los à habilitar as macros que escondem os códigos maliciosos. Mas os pesquisadores da Spyderlabs da Trustwave disseram que identificaram uma nova campanha de e-mail mal-intencionado que usa anexos do Office sem macros.

Os ataques deste tipo não geram o aviso padrão da Microsoft relativos aos ataques de macros, de acordo com pesquisas publicadas pela Trustwave.

“Ao abrir anexos, não há avisos ou pop-ups alertando vítimas, disseram pesquisadores“

O ataque usa anexos maliciosos do Word que ativam um processo de infecção em quatro estágios que aproveita a vulnerabilidade do Editor de Equações do Office (CVE-2017-11882), corrigido no ano passado pela Microsoft. O código malicioso foi projetado para roubar credenciais do e-mail, FTP e navegadores da vítima.

Pesquisadores da Trustwave disseram que a cadeia de infecção por malware usa uma combinação de técnicas que começam com um anexo formatado .DOCX. O spam é originário da botnet Necurs. As linhas de assunto do email se enquadram em quatro categorias relacionadas financeiramente: “DEMONSTRAÇÃO DE CONTA TNT“, “Solicitação de cotação“, “Notificação de transferência Telex” e “CÓPIA SWIFT PARA PAGAMENTO DE BALANÇO“. Todos os e-mails examinados pelos pesquisadores da SpiderLabs tiveram o anexo chamado “recibo.docx“.

Os pesquisadores observam que o número de estágios e vetores usados ​​nesses ataques é incomum. “Outro ponto notável é que o ataque usa tipos de arquivo (DOCX, RTF e HTA), que geralmente não são bloqueados por e-mail ou gateways de rede ao contrário dos idiomas de script mais óbvios como VBS, JScript ou FSM“, observaram os pesquisadores. “No final, tenha cuidado com documentos do Office desconhecidos ou inesperados e mantenha seus patches atualizados“.

Veja também:

• Vulnerabilidade crítica do Skype será corrigida apenas com nova versão do aplicativo
• Phishing no Whatsapp cresceu 107% em 2017
• Comissão de Justiça e Cidadania do Senado aprova PLS que obriga autorização prévia para que usuário seja adicionado em grupos de Whatsapp
• Apple confirma vazamento de código fonte do iOS
• MTPD, MBCO, RTO e RPO. Você sabe o que estas siglas significam?
• Don’t reboot it, just patch!
• Certificado e cadeado não significa que o site é seguro
• AWS mal configurado expõe dados paypal e mídias sociais de influentes

fonte: Spyderlabs da Trustwave