Pesquisadores de segurança digital encontraram pela primeira vez um malware que infecta computadores a partir de arquivos do PowerPoint (PPSX) explorando uma falha do Microsoft Office e do WordPad conhecida como CVE-2017-0199. Essa brecha de segurança foi descoberta e consertada pela Microsoft em abril deste ano, mas usuários que nunca atualizaram suas máquinas ainda podem estar inseguros.
Hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus
A falha permite que criminosos disfarcem seus malwares como se fossem apresentações de slides do PowerPoint, mas o golpe mais comum até agora era atrair as vítimas por meio de arquivos RTF.
Ao que parece, os hackers estão variando sua estratégia para evitar a detecção por meio de softwares de antivírus, que fazem uma verificação menos criteriosa quando o assunto são documentos em PPSX, tradicionalmente inofensivos.
Como acontece
Segundo constataram os pesquisadores da TrendMicro, os arquivos infectados são distribuídos via email por técnicas de phishing muito direcionadas. A maioria dos casos vitimou funcionários de fabricantes de cabos na Ucrânia, que recebiam uma mensagem que, aparentemente, era de um parceiro comercial fazendo um pedido. O PPSX, portanto, continha os detalhes técnicos da solicitação.
Ao abrir o item infectado, os usuários do WordPad ou do Microsoft Office desatualizados via apenas a mensagem "CVE-2017-0199" na tela em vez da apresentação prometida. Imediatamente, o malware então começava a agir através do recurso “Object Linking and Embedding” (OLE) do Windows. Um arquivo com código XML ou JavaScript então era baixado da internet para abrir de forma automática o PowerShell ou CMD para que o arquivo RATMAN.exe seja executado.
Dessa forma, os criminosos podem registrar tudo o que a vítima faz no computador, desde as teclas pressionadas no teclado aos dados mostrados no display. Há também a possibilidade de o PC baixar de forma silenciosa novos malwares para aumentar ainda mais o controle do hacker sobre o dispositivo.
Portanto, o recado da TrendMicro é ficar alerta para emails minimamente suspeitos, mesmo aqueles enviados por fontes que parecem conhecidas. Só baixe anexos se
Fontes
Categorias