O grupo de hackers russos Fancy Bear está a usar documentos do Microsoft Office para infectar computadores.
O grupo de hackers russos Fancy Bear, com ligações ao governo russo, que é suspeito de ter infiltrado os computadores do Partido Democrata norte americano durante a campanha para as eleições presidenciais dos Estados Unidos no ano passado, está a utilizar uma técnica que permite infectar computadores com vírus através de ficheiros do Microsoft Office.
Esta técnica utiliza ficheiros que exploram uma funcionalidade chamada Dynamic Data Exchange, ou DDE, que permite a execução de código guardado noutro ficheiro e também permite às aplicações enviarem actualizações sempre que novos dados estejam disponíveis nesses ficheiros.
A utilização deste tipo de ataque foi anunciada pela empresa de segurança informática Trend Micro na semana passada através de um artigo publicado no seu blog. Os especialistas da empresa detectaram que a organização Fancy Bear estava a enviar um ficheiro intitulado ‘IsisAttackInNewYork.docx’ que explorava o sistema DDE. Depois de aberto, o ficheiro liga o computador a um servidor remoto para descarregar e instalar um programa de malware chamado Seduploader.
A possibilidade de infecção através deste método já é conhecida há anos, mas um artigo publicado no mês passado pela firma de segurança SensePost, que mostra que o sistema DDE pode ser usado para infectar um computador, sem que qualquer programa antivírus dê algum alerta, fez renascer o interesse da comunidade.
Um dia depois da Trend Micro ter dado a conhecer o ataque do grupo Fancy Bear, a Microsoft publicou um aviso de segurança que explica como é que os utilizadores do Office se podem proteger deste tipo de ataques. A forma mais simples de protecção é ter atenção aos anexos que chegam por email e ter atenção às caixas de diálogo estranhas que possam aparecer quando abre um ficheiro no Microsoft Office.
A SensePost publicou alguns screenshots das mensagens que aparecem quando um ficheiro está a tentar infectar o computador.
Quando utilizador abre o ficheiro infectado aparece o seguinte (versão do Office em Inglês):
Depois de aceitar, aparece o seguinte:
O código malicioso só será executado se o utilizador clicar em ‘Sim’ em ambas as caixas de diálogo.
No artigo da Microsoft também estão algumas instruções para os utilizadores mais técnicos que explicam como pode alterar o Registo do Windows para desligar as actualizações automáticas de dados entre ficheiros.
O grupo Fancy Bear não é o único grupo a tentar usar o sistema DDE para infectar computadores. Algum tempo depois da SensePost ter publicado o seu artigo, foram detectadas tentativas de usar este vector de ataque para instalar o ransomware Locky.
Muitas pessoas ligadas à segurança informática salientam que esta forma de espalhar malware através do sistema DDE permite fazê-lo sem recorrer a ficheiros do Office que não usam macros. O primeiro malware que usava o Office como meio de se espalhar estava limitado a utilizar as macros para executar o código malicioso. Situação que foi resolvida pela Microsoft há já muito tempo.
A palavra de ordem é que o utilizador se mantenha sempre vigilante para evitar infecções no computador.
Ler mais AQUI
Sem comentários:
Enviar um comentário