Anexos de documentos do Word que espalham malware não pedem mais para habilitar macros
Por muitos anos, o e-mail de spam com anexos maliciosos é o método que executou 93% dos malwares[1] nos últimos dois anos. A julgar pelas últimas notícias da Trustwave SpiderLabs[2] pesquisadores, parece que a disseminação de malware, principalmente Trojan, Spyware, Keyloggers, Worms, e Ransomware, dependerá ainda mais de quantos anexos de e-mail maliciosos as pessoas vão abrir. No entanto, os hackers vão introduzir uma mudança importante - a partir de agora, as pessoas podem receber spam com anexos maliciosos de documentos do Word, Excel ou PowerPoint sem a necessidade de executar macros roteiro. Se o malware anterior foi executado apenas quando a vítima potencial habilitou macros,[3] agora ele será ativado clicando duas vezes em um anexo de e-mail.
A técnica sem macro já está em uso
Embora os pesquisadores tenham conseguido detectá-lo apenas no início de fevereiro, parece que o A tecnologia sem macro foi lançada muito antes e as vítimas em potencial já podem ter os recebeu.
Esta nova campanha de spam livre de macro usa anexos maliciosos do Word para ativar a infecção de quatro estágios, que explora o Vulnerabilidade do Office Equation Editor (CVE-2017-11882) para obter a execução de código do e-mail da vítima, FTP e navegadores. A Microsoft já havia corrigido a vulnerabilidade CVE-2017-11882 no ano passado, mas muitos sistemas não receberam o patch por qualquer motivo.
A técnica livre de macro usada para espalhar malware é inerente a um anexo formatado .DOCX, enquanto a origem do e-mail de spam é o botnet Necurs.[4] Segundo a Trustwave, o assunto pode variar, mas todos possuem relacionamento financeiro. Quatro versões possíveis foram observadas:
- DECLARAÇÃO DE CONTA TNT
- Pedido de Cotação
- Notificação de transferência telex
- CÓPIA SWIFT PARA PAGAMENTO DE SALDO
O SpiderLabs aprovou que o anexo malicioso coincide com todos os tipos de e-mails de spam sem macro. Segundo eles, o anexo .DOCX é denominado “recibo.docx”.
A cadeia da técnica de exploração livre de macro
O processo de infecção em vários estágios começa assim que a vítima em potencial abre o arquivo .DOCX. O último aciona um objeto OLE (Object Linking and Embedding) incorporado que contém referências externas a servidores de hackers. Dessa forma, os hackers obtêm acesso remoto aos objetos OLE a serem referenciados no document.xml.rels.
Os spammers exploram os documentos do Word (ou formato .DOCX) que foram criados com o Microsoft Office 2007. Este tipo de documento utiliza o Formato Open XML, que se baseia nas tecnologias de arquivo XML e ZIP. Os invasores encontraram uma maneira de manipular essas tecnologias de forma manual e automática. Depois disso, o estágio dois começa apenas quando o usuário do PC abre o arquivo .DOCX malicioso. Quando o arquivo é aberto, ele estabelece a conexão remota e baixa um arquivo RTF (formato de arquivo rich text).
Quando o usuário abre o arquivo DOCX, ele faz com que um arquivo de documento remoto seja acessado a partir do URL: hxxp: // gamestoredownload [.] Download / WS-word2017pa [.] Doc. Na verdade, este é um arquivo RTF que é baixado e executado.
É assim que a técnica de execução de malware sem macro se parece esquematicamente:
- Uma vítima potencial recebe um e-mail com um arquivo .DOCX anexado.
- Ele clica duas vezes no anexo e baixa um objeto OLE.
- Agora, o suposto arquivo Doc, que na realidade é RTF, finalmente abre.
- O arquivo DOC explora a vulnerabilidade CVE-2017-11882 Office Equation Editor.
- O código malicioso executa uma linha de comando MSHTA.
- Este comando baixa e executa um arquivo HTA, que contém VBScript.
- O VBScript descompacta um script PowerShell.
- O script Powershell posteriormente instala o malware.
Mantenha o sistema operacional Windows e o Office atualizados para se proteger de ataques de malware sem macro
Os especialistas em segurança cibernética ainda não encontraram uma maneira de proteger as contas de e-mail das pessoas de ataques Necurs. Provavelmente cem por cento de proteção não será encontrada. O conselho mais importante é ficar longe de mensagens de e-mail duvidosas. Se você não estava esperando por um documento oficial, mas o recebeu do nada, não se deixe enganar. Investigue essas mensagens em busca de erros gramaticais ou de digitação, porque as autoridades oficiais dificilmente deixarão erros em suas notificações oficiais.
Além do cuidado, é importante manter o Windows e o Office atualizados. Aqueles que desabilitaram as atualizações automáticas por um longo tempo estão sob alto risco de infecções graves de vírus. O sistema desatualizado e o software instalado nele podem apresentar vulnerabilidades como CVE-2017-11882, que só podem ser corrigidas instalando as atualizações mais recentes.