Os anexos de e-mail maliciosos mais comuns infectando o Windows

Views: 651
0 0
Read Time:6 Minute, 37 Second

Para se manter seguro on-line, todos precisam reconhecer anexos maliciosos que são comumente usados em e-mails de phishing para distribuir malware.

Ao distribuir malware, os atores de ameaças criam campanhas de spam que fingem ser faturas, convites, informações de pagamento, informações de envio, eFaxes, mensagens de voz e muito mais. Incluídos nesses e-mails estão anexos maliciosos do Word e do Excel, ou links para eles, que quando abertos e macros são ativados, instalarão malware em um computador.

Antes de o Word ou o Excel executar macros em um documento, no entanto, o Office exige que você clique nos botões ‘Ativar edição’ ou ‘Ativar conteúdo’, o que você nunca deve fazer.

Never click Enable Content on attachments you receive
Nunca clique em Ativar conteúdo em anexos que você recebe

Para enganar os usuários a clicar nesses botões, os distribuidores de malware criam documentos do Word e do Excel que contêm texto e imagens informando que há um problema na exibição do documento. Em seguida, solicita aos destinatários que cliquem em ‘Habilitar conteúdo’ ou ‘Habilitar edição’ para ver o conteúdo corretamente.

A combinação de texto e imagens nesses anexos maliciosos são chamadas de “modelos de documentos”.

Abaixo estão diferentes modelos de documentos que foram usados nas campanhas de spam para algumas das infecções de malware mais amplas.

Deve-se notar que esses modelos de documentos também podem ser usados com malwares diferentes do que está associado abaixo. Além disso, esta é uma amostra dos modelos mais comuns, mas muitos outros estão por aí.

BazarLoader

BazarLoader é um malware de segmentação corporativa desenvolvido pelo mesmo grupo por trás do trojan TrickBot. Quando instalados, os atores de ameaças usam o BazarLoader/BazarBackdoor para acessar remotamente seu computador, que é usado para comprometer o resto da sua rede.

Quando uma rede foi infectada pelo BazarLoader, é comum que os atores de ameaças implantem o ransomware Ryuk para criptografar todos os dispositivos em uma rede.

Os e-mails de phishing que distribuem o BazarBackdoor por e-mails de phishing geralmente contêm links para supostos documentos do Word ou Excel hospedados no Google Docs e no Google Sheets.

Esses documentos do Google Docs, porém, fingem ter um problema e solicitam que você baixe o documento. Este download é na verdade um executável que instala o BazarLoader, como mostrado abaixo.

BazarLoader: Fake Google docs hosted attachment
BazarLoader: Falsos documentos do Google hospedados anexo

Dridex

Dridex é um Trojan bancário avançado e modular visto pela primeira vez em 2014 e é continuamente atualizado.

Quando infectado, o Dridex baixará diferentes módulos que podem ser usados para roubar senhas, fornecer acesso remoto a um computador ou executar outras atividades maliciosas.

Quando o Dridex compromete as redes, geralmente leva à implantação de ataques de ransomware BitPaymer ou Dridex.

Acredita-se que outro ransomware conhecido como WastedLocker também esteja vinculado ao Dridex, mas uma empresa de segurança cibernética não concorda com essas avaliações.

Ao contrário de outras campanhas de distribuição de malware, a gangue Dridex tende a usar modelos de documentos mais estilizados que mostram conteúdo pequeno ou ofuscado e solicitam que você clique em Habilitar conteúdo para vê-lo melhor.

Por exemplo, o modelo abaixo afirma que o documento foi criado em uma versão anterior do Microsoft Office Word e exibe um documento difícil de ler abaixo dele.

Dridex: Created in an earlier version of Word

Dridex também usa modelos de documentos mais estilizados fingindo estar enviando informações para DHL e UPS.

Dridex: Fake DHL shipping information

Finalmente, o Dridex mostrará pequenas faturas de pagamento difíceis de ler que solicitam que você clique em ‘Habilitar edição’ para visualizá-lo corretamente.

Dridex: Fake invoice from Intuit
Dridex: Fatura falsa da Intuit

Como você pode ver nos exemplos acima, o Dridex gosta de usar imagens de documentos incorporados com logotipos da empresa e papel timbrado para enganar os usuários para habilitar macros.

Emotet

O Emotet é o malware mais amplamente distribuído através de e-mails de spam contendo documentos maliciosos do Word ou Excel. Uma vez infectado, o Emotet roubará o e-mail da vítima e usará o PC infectado para lançar mais spam para os destinatários em todo o mundo.

Os usuários infectados com o Emotet eventualmente serão infectados com trojans como TrickBot e QakBot. Ambos os Trojans são usados para roubar senhas, cookies, arquivos e levar ao compromisso em toda a rede de uma organização.

Em última análise, se infectado com o TrickBot, uma rede provavelmente será afetada por um ataque de ransomware Ryuk ou Conti. Para os afetados pelo QakBot, eles podem ser atingidos pelo ransomware ProLock.

Ao contrário do Dridex, a Emotet não usa imagens de documentos reais em seus modelos de documentos. Em vez disso, eles utilizam uma ampla gama de modelos que mostram uma caixa de aviso de que o documento não pode ser visualizado corretamente e que os usuários precisam clicar em ‘Habilitar conteúdo’ para lê-lo.

Por exemplo, o modelo‘Red Dawn‘ mostrado abaixo afirma que “Este documento está protegido” e, em seguida, solicitará que você habilite o conteúdo para lê-lo.

Dridex: This document is protected template
Dridex: modelo “Este documento está protegido”

Este próximo modelo finge que não poderia ser aberto corretamente, pois foi criado em um ‘dispositivo iOS

Emotet: Created on an iOS device
Emotet: Criado em um dispositivo iOS

Outro afirma que o documento foi criado no ‘Windows 10 Mobile‘, que é uma mensagem estranha, já que o Windows 10 Mobile foi descontinuado por algum tempo.

Emotet: Created on Windows 10 Mobile 
Emotet: Criado no Windows 10 Mobile

O próximo modelo finge que o documento está em ‘Exibição Protegida’, e o usuário precisa clicar em ‘Ativar edição’ para vê-lo corretamente.

Emotet: Protected view
Emotet: Exibição protegida

O próximo modelo é um pouco mais interessante, pois diz aos usuários para aceitarem o contrato de licença da Microsoft antes que eles possam visualizar o documento.

Emotet: Accept the license agreement
Emotet: Aceite o contrato de licença

Outro modelo interessante finge ser um Assistente de Ativação do Microsoft Office, que solicita aos usuários que ‘Habilitem a edição’ para terminar de ativar o Office.

Emotet: Office Activation Wizard
Emotet: Assistente de ativação do escritório

Finalmente, a Emotet é conhecida por usar um modelo de documento que finge ser um Assistente de Transformação do Microsoft Office.

Emotet: Transformation wizard
Emotet: Mago da transformação

Como você pode ver, em vez de modelos de documentos estilizados, o Emotet usa avisos gerais para tentar convencer os usuários a ativar macros em um anexo.

QakBot

QakBot, ou QBot, é um trojan bancário que se espalha através de campanhas de phishing que fornecem documentos maliciosos do Microsoft Word, geralmente para empresas.

QakBot é um Trojan modular que inclui a capacidade de roubar informações bancárias, instalar outros malwares ou fornecer acesso remoto a uma máquina infectada.

Como outros trojans neste artigo, o QakBot também fez parceria com uma infecção por ransomware chamada ProLock que geralmente é a carga final de um ataque.

Em comparação com a Emotet, as campanhas do QakBot tendem a utilizar modelos de documentos mais estilizados. O modelo mais comum usado pelas campanhas de spam qakBot finge ser do DocuSign, como mostrado abaixo.

QakBot: DocuSign template
QakBot: Modelo DocuSign

Outros modelos incluem os que fingem ser do Microsoft Defender ou uma tela de atualização e ativação do Word, como o abaixo.

QakBot: Word update and activation error
QakBot: Erro de atualização e ativação do Word

Todos os anexos executáveis

Finalmente, você nunca deve abrir anexos que terminam com as extensões .vbs, .js, .exe, .ps1, .jar, .bat, .com ou .scr, pois todas elas podem ser usadas para executar comandos em um computador.

Como a maioria dos serviços de e-mail, incluindo Office e Gmail, bloqueia anexos “executáveis”, os distribuidores de malware os enviarão em arquivos protegidos por senha e incluirão a senha no e-mail.

Essa técnica permite que o anexo executável contorne os gateways de segurança de e-mail e alcance o destinatário pretendido.

JAR attachment
Anexo JAR

Infelizmente, a Microsoft decidiu ocultar extensões de arquivo por padrão,o que permite que os atores de ameaças enganem os usuários a executar arquivos inseguros. Devido a isso, o BleepingComputer recomenda fortemente que todos os usuários do Windows habilitem a exibição de extensões de arquivo.

Se você receber um e-mail contendo um desses tipos de arquivos executáveis, ele é quase sem dúvida malicioso e deve ser imediatamente excluído.

FONTE: BLEEPING COMPUTER

POSTS RELACIONADOS