Mercado abrirá em 1 h 45 min
  • BOVESPA

    110.235,76
    +1.584,71 (+1,46%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    47.808,21
    +566,41 (+1,20%)
     
  • PETROLEO CRU

    92,93
    +1,00 (+1,09%)
     
  • OURO

    1.806,80
    -6,90 (-0,38%)
     
  • BTC-USD

    24.510,14
    +1.421,56 (+6,16%)
     
  • CMC Crypto 200

    576,97
    +45,75 (+8,61%)
     
  • S&P500

    4.210,24
    +87,77 (+2,13%)
     
  • DOW JONES

    33.309,51
    +535,11 (+1,63%)
     
  • FTSE

    7.480,61
    -26,50 (-0,35%)
     
  • HANG SENG

    20.082,43
    +471,59 (+2,40%)
     
  • NIKKEI

    27.819,33
    -180,63 (-0,65%)
     
  • NASDAQ

    13.416,50
    +24,50 (+0,18%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,2635
    +0,0171 (+0,33%)
     

Falha em calculadora do Windows é usada em ataques com malware

Uma falha na forma de executar DLLs da Calculadora do Windows 7 está sendo usada por criminosos como método de contaminação pelo vírus Qbot. A exploração envolve os tradicionais e-mails de phishing, que carregam supostos arquivos importantes e protegidos por senha, que quando abertos, iniciam uma cadeira de ações que levam à instalação do malware.

Os bandidos utilizam um método conhecido como DLL side-loading. O carregamento lateral consiste em executar aplicativos a partir de versões maliciosas dos arquivos, que permitam a abertura de portas para a instalação de vírus, neste caso, uma praga capaz de baixar outros vírus e levar a ataques envolvendo ransomware, roubo de dados e outras explorações.

O vetor de ataque ainda é comum, envolvendo e-mails disseminados em massa que carregam arquivos anexos protegidos por senha, de forma que não possam ser analisados por antivírus e outras soluções de segurança. Dentro, estão dados no formado ISO e, também, o executável da Calculadora do Windows 7, bem como dois arquivos DLL comprometidos que dão continuidade ao ataque.

<em>Anexo de e-mails usa cadeia de formatos de arquivos diferentes, com atalho disfarçado de documento apontando para um executável da Calculadora do Windows 7, que executa DLLs maliciosas no sistema operacional a partir do malware (Imagem: Reprodução/Cyble)</em>
Anexo de e-mails usa cadeia de formatos de arquivos diferentes, com atalho disfarçado de documento apontando para um executável da Calculadora do Windows 7, que executa DLLs maliciosas no sistema operacional a partir do malware (Imagem: Reprodução/Cyble)

O ataque acontece a partir do clique no suposto relatório, com ícone de PDF e nome de arquivo reconhecível. O arquivo, entretanto, é um atalho do Windows que aponta para a Calculadora; o golpe acontece quando o aplicativo executa as DLLs disponíveis na própria pasta em que está e não em um caminho pré-determinado no sistema operacional.

É por isso que a versão do sistema operacional antigo é utilizada, já que, no Windows 10, essa exploração não é mais possível, justamente como medida de segurança que garante a confiabilidade dos dados — se o software antigo é rodado, entretanto, a abertura ainda persiste. Quando a Calculadora é executada, o Qbot é implantado na máquina, também de forma não detectável por acompanhar um software legítimo da plataforma; as portas, então, ficam abertas para novas explorações e o recebimento de comandos pela máquina infectada.

Como o malware Qakbot surgiu?

Também conhecida como Qakbot, a ameaça surgiu como um vírus focado em sistemas bancários, mas evoluiu em suas capacidades para se tornar o que os especialistas em segurança chamam de dropper, uma ameaça capaz de baixar outras para o sistema. Entre as pragas que já foram utilizadas em golpes combinados desse tipo estão o Cobalt Strike, que permite intrusão em redes, e ransomware como Maze, Egregor, Black Basta e ProLock.

Os primeiros ataques envolvendo o formato foram registrados no dia 11 de julho, conforme relatado pela empresa de segurança Cyble. A campanha segue ativa a partir de e-mails disseminados em massa e focados no mercado corporativo, sempre o principal alvo de explorações envolvendo arquivos anexos e o carregamento lateral de DLLs comprometidas no Windows.

Sendo assim, a atenção de sempre deve ser dada a mensagens que tragam arquivos anexos. É importante se certificar sobre a origem dos e-mails e prestar atenção em domínios e demais indicadores antes de abrir qualquer dado desse tipo; desconfie sempre de informações em formato compactado ou que tragam aplicações executáveis em seu interior.

Manter sistemas operacionais atualizados e plataformas de segurança rodando no computador também ajuda a evitar os ataques mais comuns. Indicadores de comprometimento também foram liberados como parte do alerta sobre a campanha maliciosa e podem ser aplicados para conter explorações em andamento.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos