Novos ataques do Microsoft Word infectam PCs sem macros

Fancy Bear, grupo hacker de pesquisas avançadas vinculado ao governo russo, está explorando ativamente uma técnica recém-revivida.

Essa tecnica oferece aos invasores um meio furtivo de infectar computadores usando documentos do Microsoft Office, disseram pesquisadores de segurança nesta semana.

O grupo foi recentemente capturado enviando um documento do Word que abusa de um recurso conhecido como Dynamic Data Exchange. DDE permite que um arquivo execute o código armazenado em outro arquivo e permite que os aplicativos enviem atualizações à medida que novos dados se tornam disponíveis.

Em uma publicação no blog publicada na terça-feira , os pesquisadores da Trend Micro disseram que o Fancy Bear estava enviando um documento intitulado IsisAttackInNewYork.docx que abusava do recurso DDE.

Uma vez aberto, o arquivo se conecta a um servidor de controle para baixar um primeiro pedaço de malware chamado Seduploader e instalá-lo no computador de um alvo.

O potencial do DDE como uma técnica de infecção tem sido conhecido por anos, mas um post publicado no mês passado pela firma de segurança SensePost reviveu o interesse nele. A postagem mostrou como o DDE poderia ser usado para instalar malware usando arquivos do Word que não foram detectados por programas anti-vírus.

Um dia depois que a Trend Micro publicou seu relatório sobre o Fancy Bear, a Microsoft publicou um aviso explicando como os usuários do Office podem se proteger de tais ataques.

A maneira mais fácil de se manter segura é manter a atenção para mensagens desconhecidas que são exibidas ao abrir um documento. Como o SensePost revelou pela primeira vez, antes que o recurso DDE possa ser usado, os usuários verão uma caixa de diálogo que se parece com o seguinte:

Se os alvos clicarem em “sim”, eles verão um prompt que se parece com algo assim:

A carga útil maliciosa só será executada depois que um usuário clicou “sim” em ambos os avisos.

O aviso da Microsoft também explica como mais usuários tecnicamente avançados podem alterar configurações no registro do Windows para desativar a atualização automática de dados de um arquivo para outro.

Fancy Bear não é o primeiro grupo a explorar ativamente o DDE. Poucas semanas após o lançamento do SensePost, os pesquisadores relataram que os atacantes abusavam do recurso para instalar o Ransomware Locky .

Muitos pesquisadores observaram a capacidade dos ataques habilitados para DDE para espalhar malware através de documentos do Office sem as macros. A novidade é susceptível de tornar o DDE eficaz em algumas configurações, dada a crescente consciência de perigos que as macros representam. Mas, em última instância, o mecanismo DDE vem com seus próprios sinais reveladores. As pessoas devem aprender a reconhecê-las agora que os ataques DDE estão crescendo e se tornando mais comum.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *