O grupo criminoso Lazarus criou uma ferramenta que utiliza o cliente do Windows Update para instalar códigos maliciosos. A porta de entrada para o ataque são códigos em macro dentro de documentos do Word.
Pesquisadores identificaram o ataque quando investigavam esquemas de phishing de uma suposta campanha com vagas para a Lockheed Martin. O golpe era direcionado a grupos de pessoas interessadas em conseguir um emprego na empresa de tecnologia, defesa e segurança de informação.
Ataque via macroFonte: MalwareBytes
Acesso a DLL via macro
Os criminosos estavam distribuindo os documentos Lockheed_Martin_JobOpportunities.docx e Salary_Lockheed_Martin_job_opportunities_confidential.doc. Ambos possuíam macros que instalavam os arquivos WindowsUpdateConf.lnk no diretório de inicialização do sistema e a DLL wuaueng.dll na pasta Windows/System32.
Caminho do ataque via macroFonte: MalwareBytes
Uma vez ativado, o atalho utilizava a ferramenta de atualização de sistema para instalar a DLL maliciosa. Por se tratar de um código que utiliza funções do próprio sistema, desde a entrada via macro até a alocação do vírus, o ataque passa despercebido por várias soluções de segurança.
Atenção do usuário é primeira barreira
Por mais que pareça óbvio, é sempre extremamente importante ficar atento a links, documentos, anexos e mensagens de fontes desconhecidas ou não solicitadas. Boa parte dos ataques oportunistas se valem mais de fragilidades dos usuários que dos sistemas propriamente.
É sempre prudente desconfiar de propostas tentadoras com recompensas fáceis, ou situações que parecem ser a oportunidade de uma vida, principalmente de mensagens não solicitadas. Antes de clicar em qualquer link ou anexo, o mais recomendado é sempre buscar nos canais oficiais da empresa ou grupo fazendo a oferta.
Outra medida interessante é fazer uma busca dos termos relacionados aos arquivos ou links recebidos. Muitas vezes esses esquemas já estão identificados e documentados, sendo relativamente fácil evitar golpes com essas práticas de navegação saudável.
Categorias
![Imagem de: Home office: 70 vagas para trabalho remoto internacional [04/11]](https://tm.ibxk.com.br/2024/11/04/04083909949001.jpg?ims=288x165)
