Mercado abrirá em 3 h 15 min
  • BOVESPA

    110.580,79
    +234,97 (+0,21%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    51.304,04
    -72,85 (-0,14%)
     
  • PETROLEO CRU

    111,49
    +1,72 (+1,57%)
     
  • OURO

    1.857,00
    -8,40 (-0,45%)
     
  • BTC-USD

    29.750,50
    +478,55 (+1,63%)
     
  • CMC Crypto 200

    662,06
    +6,23 (+0,95%)
     
  • S&P500

    3.941,48
    -32,27 (-0,81%)
     
  • DOW JONES

    31.928,62
    +48,38 (+0,15%)
     
  • FTSE

    7.513,33
    +28,98 (+0,39%)
     
  • HANG SENG

    20.171,27
    +59,17 (+0,29%)
     
  • NIKKEI

    26.677,80
    -70,34 (-0,26%)
     
  • NASDAQ

    11.767,75
    -3,25 (-0,03%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,1548
    -0,0174 (-0,34%)
     

Cibercriminosos usam atalhos do Windows para baixar malware no PC

Os atalhos do Windows são a nova arma das quadrilhas de cibercriminosos para contaminar PCs corporativos e de usuários finais com a botnet Emotet. Os arquivos no formato LNK chegam por e-mail, disfarçados de mensagens empresariais fraudulentas com documentos, cobranças ou notas fiscais, e contém comandos que permitem o download das pragas a partir de sites controlados pelos bandidos.

De acordo com os pesquisadores da ESET, que divulgaram alerta sobre o novo método, esta é uma resposta dos cibercriminosos às barreiras colocadas pela Microsoft no uso de macros, que até aqui eram o vetor preferencial do Emotet em ataques corporativos. Os atalhos, quando executados diretamente, escondem comandos PowerShell que baixam e executam scripts no computador, realizando a instalação do malware que serve como porta de entrada para novos comprometimentos.

<em>Código que faz o download do Emotet vem ofuscado no destino do atalho, que realiza a instalação a partir de URLs comprometidas e pode abrir as portas para comprometimentos maiores (Imagem: Reprodução/Bleeping Computer)</em>
Código que faz o download do Emotet vem ofuscado no destino do atalho, que realiza a instalação a partir de URLs comprometidas e pode abrir as portas para comprometimentos maiores (Imagem: Reprodução/Bleeping Computer)

A tática escapa de verificações usuais de segurança e, também, de análises manuais, já que o destino do atalho não inclui os códigos maliciosos diretamente. Eles aparecem após dezenas de espaços em branco, exigindo que o usuário dê uma olhada direta no caminho do arquivo para localizar o indício de que há algo de errado com aquele atalho.

O arquivo LNK, claro, não leva a lugar algum nem contém arquivos efetivamente maliciosos. Quando o usuário vê o erro na tela, porém, já é tarde, com as ações maliciosas acontecendo em segundo plano a partir de diferentes URLs maliciosas, com a botnet sendo baixada para pastas de arquivos temporários e gerando alterações no registro do Windows para estabelecer permanência no computador.

De acordo com os dados da ESET, já é possível perceber uma redução considerável no uso de macros e um aumento significativo nesse novo método. Países como México, Itália, Japão, Turquia e Canadá parecem ser os mais atingidos pela tática, que teve indicadores de comprometimento e também os sites usados para o download da botnet divulgados, para que possam ser bloqueados por administradores de segurança.

Ainda, o novo formato também segue uma série de mudanças nas contaminações pelo Emotet, que se mantém como uma das pragas mais populares da atualidade. Alterações no código, disseminações em ampla escala e, agora, o uso de atalhos do Windows são ferramentas da botnet, que pode abrir as portas para ataques mais graves pelas mãos de quadrilhas de ransomware e roubo de dados, por exemplo.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos