Grupo criminoso usa Windows Update para espalhar vírus

1 min de leitura
Imagem de: Grupo criminoso usa Windows Update para espalhar vírus
Imagem: BleepingComputer

O grupo criminoso Lazarus criou uma ferramenta que utiliza o cliente do Windows Update para instalar códigos maliciosos. A porta de entrada para o ataque são códigos em macro dentro de documentos do Word.

Pesquisadores identificaram o ataque quando investigavam esquemas de phishing de uma suposta campanha com vagas para a Lockheed Martin. O golpe era direcionado a grupos de pessoas interessadas em conseguir um emprego na empresa de tecnologia, defesa e segurança de informação.

Ataque via macroAtaque via macroFonte:  MalwareBytes 


Acesso a DLL via macro

Os criminosos estavam distribuindo os documentos Lockheed_Martin_JobOpportunities.docx e Salary_Lockheed_Martin_job_opportunities_confidential.doc. Ambos possuíam macros que instalavam os arquivos WindowsUpdateConf.lnk no diretório de inicialização do sistema e a DLL wuaueng.dll na pasta Windows/System32.

Caminho do ataque via macroCaminho do ataque via macroFonte:  MalwareBytes 


Uma vez ativado, o atalho utilizava a ferramenta de atualização de sistema para instalar a DLL maliciosa. Por se tratar de um código que utiliza funções do próprio sistema, desde a entrada via macro até a alocação do vírus, o ataque passa despercebido por várias soluções de segurança.

Atenção do usuário é primeira barreira

Por mais que pareça óbvio, é sempre extremamente importante ficar atento a links, documentos, anexos e mensagens de fontes desconhecidas ou não solicitadas. Boa parte dos ataques oportunistas se valem mais de fragilidades dos usuários que dos sistemas propriamente.

É sempre prudente desconfiar de propostas tentadoras com recompensas fáceis, ou situações que parecem ser a oportunidade de uma vida, principalmente de mensagens não solicitadas. Antes de clicar em qualquer link ou anexo, o mais recomendado é sempre buscar nos canais oficiais da empresa ou grupo fazendo a oferta.

Outra medida interessante é fazer uma busca dos termos relacionados aos arquivos ou links recebidos. Muitas vezes esses esquemas já estão identificados e documentados, sendo relativamente fácil evitar golpes com essas práticas de navegação saudável.

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.