Ataque usando o PowerPoint distribui Malware sem o uso de macros

Arquivos do PowerPoint são usados para distribuir Malware sem o uso de macros

Ataque via PowerPoint com PowerShell

Pesquisadores da empresa de segurança SentinelOne descobriram que um grupo de hackers está usando arquivos maliciosos do popular software de apresentações Microsoft PowerPoint para distribuir o ‘Zusy’, um cavalo-de-tróia bancário, que também conhecido pelo nome de ‘Tinba’ (ou Tiny Banker).

Trata-se de um ataque de engenharia social, que utiliza o software de apresentações Microsoft PowerPoint para espalhar malwares sem que os usuários precisem sequer habilitar macros ao abrir um arquivo.

Em vez disso, malwares são executados no sistema por meio do uso de comandos do PowerShell incorporados dentro de um arquivo PPT, sem a necessidade de executar códigos JavaScript, Macros ou VBA (técnicas “tradicionais”, por assim dizer).

O código malicioso do PowerShell é escondido dentro do arquivo e é executado assim que o usuário move ou desloca o mouse sobre um link no arquivo, que então baixa software adicional na máquina comprometida – mesmo que o usuário não clique nesse link.

Cavalo de Tróia Zusy

O Zusy, que foi descoberto em 2012, é um cavalo-de-tróia (trojan) que visa sites financeiros e tem a capacidade de analisar o tráfego de rede e realizar ataques do tipo “Man-in-The-Browser” para injetar código malicioso em sites bancários legítimos.

Desta forma, ele solicita às vítimas que compartilhem dados confidenciais, tais como números de cartões de crédito, senhas e tokens de autenticação.

Essas apresentações do PowerPoint são distribuídas por meio de e-mails de spam fraudulentos, que trazem assuntos como “Pedido de Compra” e “Confirmação”, e, quando abertos, exibem um texto do tipo “Carregando … Aguarde” (“Loading…Please Wait”) como link.

Quando o usuário passa o mouse por sobre esse link, ele tenta ativar o código PowerShell embutido, porém o recurso de segurança “Visualização Protegida”, que vem ativado por padrão nos aplicativos do Office, exibe um aviso e pergunta se deve ativar ou desativar o conteúdo do arquivo.

Se o usuário ignorar o aviso e permitir que o conteúdo seja visualizado, o programa malicioso se conectará ao domínio “cccn.nl”, a partir de onde ele baixa e executa um arquivo, que realizará a instalação do Zusy na máquina da vítima.

Evitando problemas com o Zusy

Para evitar contaminação em seu sistema, você deve seguir as orientações de segurança tradicionais, que incluem não abrir arquivos oriundos de fontes desconhecidas, tomar muito cuidado com e-mails que tragam assuntos suspeitos, e somente habilitar a edição de documentos do office quando for realmente necessário, e você tiver certeza de que se trata de um arquivo genuíno de trabalho.

Fonte: The Hacker News

 

Sobre Fábio dos Reis (1273 Artigos)
Fábio dos Reis trabalha com tecnologias variadas há mais de 25 anos, tendo atuado nos campos de Eletrônica, Telecomunicações, Programação de Computadores e Redes de Dados. É um entusiasta de Unix, Linux e Open Source em geral, adora Eletrônica e Música, e estuda idiomas, além de ministrar cursos e palestras sobre diversas tecnologias em São Paulo e outras cidades do Brasil.
Contato: Website

Escreva um comentário

Seu e-mail não será divulgado


*