Funcionários de empresas financeiras estão sendo alvo de uma nova campanha de phishing, batizada por pesquisadores de MirrorBlast. O método de ação, descrito pela empresa de segurança Morphisec, é usando de algo perigosamente banal a todo funcionário de escritórios: um arquivo do Excel, modificado por hackers para baixar e instalar um ransomware. A nova praga de malware que trava o computador até o pagamento de resgate.

O método, extremamente simples, consegue evitar com que sistemas de antivírus percebam o ataque. Trata-se de macros, comandos para automatização de trabalhos, que existem desde as primeiras versões do aplicativo.

publicidade

De, fato, essas macros usam uma parte particularmente arcaica do Excel: a linguagem XLM, abandonada no Excel 4.0, de 1992 (!). O formato é mantido como legado, por compatibilidade com planilhas extremamente antigas. E, justamente por ser tão arcaico, escapa a detecção por ferramentas modernas.

Essas macros instalam silenciosamente o malware, por meio do serviço do Windows msiexec.exe, que baixa um pacote de instalação MSI. Com isso, a pessoa tem agora um real malware pesado no computador – o ransomware, que criptografa tudo na máquina e a bloqueia até alguém pagar um resgate para os criminosos.

Engenharia social

Como quase todo ataque moderno, com arquivos do Excel, os hackers precisam de usar de um pouco de engenharia social. Isto é, enganar as pessoas com técnicas muito humanas.

O golpe começa com eles se fazendo passar por um profissional, como um superior ou provedor de serviços, por meio de um e-mail compartilhando a planilha contaminada, via link de compartilhamento.

O ataque, na versão em inglês (Morphisec/reprodução)

Para disfarçar o link malicioso, um link do Feedproxy é usado para fazer parecer que o endereço é legítimo. Na página, a planilha aparece como hospedada no Microsfot OneDrive ou num site SharePoint.

A página falsa (Morphisec/reprodução)

Não basta, porém, baixar: as macros do Excel são desabilitadas por padrão. É preciso mudar uma configuração habilitando-as. E aí entra mais engenharia social: ou o próprio e-mail ou dentro do arquivo há instruções pedindo para habilitar as macros.

Ainda há uma limitação: a de o sistema arcaico funcionar apenas nas versões 32 bits do Office, não as de 64 bits.

Ataque Excel é provável criação de hackers russos

A Morphisec acredita que as características do ataque MirrorBlast o identificam com o grupo de cibercriminosos russo TA505.

“O TA505 é um dos muitos grupos financeiramente motivados atualmente ativos no mercado”, afirma o pesquisador Anrold Osipov no blog da empresa. “Eles também são um dos mais criativos, e tem uma tendência de constantemente mudar os ataques que preparam para atingir seus objetivos. Essa nova cadeia de ataque para o MicroBlast não é exceção para o TA505 ou outros grupos de ameaça inovadores.”

Como o ataque MirrorBlast depende de engenharia social, a dica de proteção é básica: não confie em arquivos compartilhados do nada por supostos superiores ou colegas. Não ative macros em arquivos do MS Office exceto em real necessidade, e com garantia do suporte técnico.

Imagem: Sasirin Pamal/Shutterstock

Leia mais:

Já assistiu aos nossos vídeos no YouTube? Inscreva-se no nosso canal!