Os invasores encontraram uma nova maneira de entrar no seu computador, deixando todos os seus dados expostos. Desta vez, criminosos cibernéticos engenhosos exploraram um patch crítico do Microsoft Office. Um arquivo do Microsoft Cabinet, contendo um executável malicioso, seria aplicado. Terceiros mal-intencionados espalham esse exploit para suas vítimas usando muitos e-mails de spam.
Neste mundo on-line em constante crescimento e em constante mudança, as ameaças se tornaram tão comuns e tão difíceis de detectar que permanecer protegido é apenas uma questão de permanecer um passo à frente dos invasores.
Novos resultados de pesquisa publicados pela empresa de segurança cibernética Sophos, mostram que terceiros mal-intencionados foram capazes de pegar um exploit de prova de conceito disponível publicamente e transformá-lo em arma para entregar o malware Formbook.
Supostamente, os cibercriminosos realmente conseguiram criar uma exploração capaz de contornar uma vulnerabilidade crítica de execução remota de código no Microsoft Office, que foi corrigida no início deste ano.
Os invasores contornam o patch crítico do Microsoft Office com exploit
Você não precisa voltar no tempo tanto tempo para descobrir onde tudo começou. Em setembro, a Microsoft lançou um patch para impedir que invasores executem códigos maliciosos embutidos em um documento do Word.
Graças a essa falha, um arquivo do Microsoft Cabinet (CAB), contendo um executável malicioso, seria baixado automaticamente.
Isso foi conseguido retrabalhando o exploit original e colocando o documento malicioso do Word dentro de um arquivo RAR especialmente criado, que entregava uma forma do exploit capaz de escapar com sucesso do patch original.
Além disso, este último exploit foi entregue às vítimas usando e-mails de spam por aproximadamente 36 horas antes de desaparecer completamente.
Os pesquisadores de segurança da Sophos acreditam que a vida útil limitada do exploit pode significar que se trata de um experimento de simulação que pode ser usado em ataques futuros.
As versões de pré-patch do ataque envolviam código malicioso compactado em um arquivo Microsoft Cabinet. Quando o patch da Microsoft fechou essa lacuna, os invasores descobriram uma prova de conceito que mostrou como você poderia agrupar o malware em um formato de arquivo compactado diferente, um arquivo RAR. Arquivos RAR foram usados antes para distribuir código malicioso, mas o processo usado aqui era extraordinariamente complicado. Provavelmente só teve sucesso porque a remessa do patch foi definida de forma muito restrita e porque o programa WinRAR que os usuários precisam para abrir o RAR é muito tolerante a falhas e não parece se importar se o arquivo está malformado, por exemplo, porque foi adulterado.
Também foi descoberto que os invasores responsáveis criaram um arquivo RAR anormal que tinha um script do PowerShell anexando um documento do Word malicioso armazenado dentro do arquivo.
Para ajudar a espalhar esse arquivo RAR perigoso e seu conteúdo malicioso, os invasores criaram e distribuíram e-mails de spam que convidavam as vítimas a descompactar o arquivo RAR para acessar o documento do Word.
Portanto, é melhor você ter isso em mente ao lidar com este software e se algo parecer, mesmo remotamente, suspeito.
Ficar seguro deve ser a prioridade número um para todos nós ao lidarmos com a Internet. Ações simples que podem parecer inofensivas à primeira vista podem desencadear sérias cadeias de eventos e consequências.
Você também foi vítima desses ataques de malware? Compartilhe sua experiência conosco na seção de comentários abaixo.
