Não é de hoje que brechas em sistemas operacionais favorecem os hackers. A mais nova é uma técnica de phishing para entregar trojans de acesso remoto (RAT) a vítimas inocentes, garantem especialistas da empresa de cibersegurança Perception Point. E tal vulnerabilidade pode espalhar malware na máquina infectada e até na rede da qual ela faz parte.

>>>Clique aqui para ler mais sobre cybersecurity

A empresa batizou a campanha contra essa nova ameaça de Operação PhantomBlu, a qual está usando uma técnica chamada Object Linking and Embedding (OLE).

Por onde o malware penetra no sistema?

Como sempre, hackers buscam brechas. E a desta vez a falha que permite o uso da técnica OLE vem de um recurso do Windows. O recurso permite aos usuários incorporar e vincular documentos dentro de documentos, resultando em arquivos compostos com elementos de diferentes programas.

Como funciona o phishing

Como de costume, a campanha maliciosa se inicia via um e-mail de phishing. O tal e-mail, aparentemente, teria como remetente o departamento de contabilidade da empresa da vítima. Segundo a empresa de segurança, os e-mails são enviados de uma plataforma de marketing legítima chamada Brevo. Os especialistas de cibersegurança acreditam que, de alguma forma, a Brevo foi comprometida.

Para se ter sucesso em uma campanha de phishing os criminosos precisam que um anexo seja baixado e aberto pelo usuário. Neste caso, é um documento do Word chamado “relatório mensal de salários”. Quando as vítimas o baixam elas são solicitadas a inserir uma senha para abri-lo e, em seguida, clicar duas vezes no ícone de uma impressora incorporado no documento.

Quando as vítimas fazem isso, elas executam um arquivo ZIP contendo um arquivo de atalho do Windows, que executa um conta-gotas do PowerShell que implanta o NetSupport RAT a partir de um servidor remoto.

“Ao usar .docs criptografados para entregar o NetSupport RAT via modelo OLE e injeção de modelo, o PhantomBlu marca um afastamento dos TTPs convencionais comumente associados às implantações do NetSupport RAT”, disse ao TheHackerNews Ariel Davidpur, autor do relatório, acrescentando que a técnica atualizada “mostra a inovação do PhantomBlu em combinar táticas sofisticadas de evasão com engenharia social.”

Software usado no ataque é de 1989

NetSupport RAT é uma versão armada do NetSupport Manager, um software de controle remoto legítimo, lançado pela primeira vez em 1989. Durante anos, o NetSupport RAT foi um dos trojans de acesso remoto mais comumente usados, permitindo aos invasores acesso ininterrupto aos dispositivos comprometidos. Eles podem então usar esse acesso para implantar malware ainda mais perigoso, incluindo infostealers e ransomware.

Como se proteger de um malware e de phishing?

Infelizmente para ataques de phishing a única prevenção é a de sempre: ficar atento aos e-mails e evitar baixar anexos, até mesmo de conhecidos e de organizações de verdade. Tente verificar a procedência de tais mensagens e arquivos antes.

Image by storyset on Freepik