Pesquisadores da Kaspersky Lab identificaram em disseminação na web um novo tipo de ataque via arquivos de texto do Microsoft Word. Inicialmente, softwares antivírus não identificavam a novidade como maliciosa pois ela não trazia nenhum segmento de código conhecido como mal-intencionado. Mas isso acontecia porque o objetivo do documento não era infectar a máquina, mas sim obter informações detalhadas sobre o software dela.
Os criminosos usavam técnicas de phishing sofisticadas para convencer as vítimas a baixar e abrir um arquivo do Word. Assim que isso era feito, o documento, cuidadosamente produzido, ativava a “função secreta” IncludePicture do editor da Microsoft. Combinando isso a uma série de links apontando para um segmento de código PHP, os criminosos eram capazes de coletar informações detalhadas sobre todo o software instalado no dispositivo, incluindo a versão do Microsoft Office, do sistema operacional, de programas de antivírus, e por aí vai. O IncludePicture tornava vulnerável o Windows (mobile e desktop), o Android e o iOS.
Eles poderiam desenvolver um malware ou outro tipo de ataque extremamente personalizado para a vítima
Esses dados eram enviados para os criminosos e, com isso, eles poderiam desenvolver um malware ou outro tipo de ataque extremamente personalizado para a vítima. A ideia era provavelmente aumentar a taxa de sucesso e, com isso, focar em personalidades famosas ou em executivos em altos postos de grandes empresas.
O IncludePicture do Word pode ser considerado “secreto” no Word porque não há nenhuma descrição oficial sobre como ele funciona ou o que exatamente ele é capaz de fazer no software. Também não há relatos do uso dessa ferramenta para nenhuma atividade prática, além da possiblidade de ser explorada por cibercriminosos. Isso foi inclusive uma das razões que dificultou a identificação do problema pelos pesquisadores.
IncludePicture continha link suspeito
Se você desejar obter os detalhes técnicos mais profundos de como a falha foi identificada, confira a publicação detalhada da Kaspersky aqui. Caso você esteja apenas preocupado com a possibilidade de ser atacado, certifique-se de que seu sistema operacional, antivírus e Office estejam devidamente atualizados, pois é muito provável que a Microsoft já tenha enviado uma correção para o problema, uma vez que a Kaspersky não tornaria isso público caso ainda houvesse risco.
Fontes
Categorias