Exploit em planilha do Excel permite a disseminação sem arquivo do Malware Remcos RAT
Uma nova campanha de phishing foi descoberta por pesquisadores de cibersegurança e desta vez os criminosos estão usando um exploit em planilhas do Excel para espalhar uma variante sem arquivo (fileless) do malware comercial Remcos RAT. Este malware que oferece controle remoto de dispositivos, é utilizado por cibercriminosos para roubar informações sensíveis e realizar atividades maliciosas nos dispositivos das vítimas.
Como funciona o ataque
A campanha de phishing começa com um e-mail disfarçado de pedido de compra, atraindo os destinatários a abrir um anexo do Microsoft Excel. Esse anexo malicioso explora uma falha de execução remota de código conhecida no Office (CVE-2017-0199), permitindo que o malware seja baixado de um servidor remoto. Em seguida, um arquivo HTA (HTML Application) é acionado usando um script do Excel, que, por sua vez, baixa e executa o Remcos RAT.
Para dificultar a detecção, o arquivo HTA é protegido por várias camadas de JavaScript, Visual Basic Script e código PowerShell. Esses códigos ocultos têm a função de obter e executar um arquivo executável que inicia o malware. Além disso, essa variante do Remcos RAT não armazena o arquivo localmente, o que o caracteriza como um malware sem arquivo (fileless), sendo executado diretamente na memória do dispositivo infectado.
Características do Remcos RAT
Remcos RAT é uma ferramenta avançada que permite ao invasor controlar remotamente o dispositivo comprometido, executando comandos e roubando dados. Entre as capacidades do malware estão:
- Coleta de informações sensíveis: Ele pode capturar metadados do sistema, informações de arquivos e outros dados valiosos.
- Execução de comandos e scripts: Os invasores podem enviar comandos remotamente, controlando diversas funções do sistema.
- Manipulação de processos e serviços: É possível gerenciar e encerrar processos, modificar serviços e até editar o Registro do Windows.
- Controle de dispositivos de entrada e monitoramento: O malware pode capturar o conteúdo da área de transferência, alterar o papel de parede, ativar a câmera e o microfone, gravar a tela e até desativar o teclado ou o mouse.
Além disso, o Remcos RAT permite que o atacante baixe e execute cargas adicionais, o que facilita a infecção de outras variantes de malware, ampliando ainda mais o controle sobre o dispositivo infectado.
DocuSign e outras técnicas de phishing
Em outra vertente de ataques, cibercriminosos estão utilizando APIs do DocuSign para enviar faturas falsas que parecem autênticas. Esse método consiste em criar contas legítimas no DocuSign e personalizar modelos de e-mails e solicitações de assinatura digital, muitas vezes imitando empresas conhecidas, como a Norton Antivirus. Essas contas permitem aos atacantes enviar faturas falsas que induzem os destinatários a realizar pagamentos para os criminosos.
Esse tipo de phishing é ainda mais perigoso, pois se diferencia dos ataques tradicionais. Em vez de usar links maliciosos em e-mails fraudulentos, os criminosos se aproveitam de contas reais do DocuSign para passar despercebidos pelos filtros de segurança, dificultando a detecção por ferramentas de proteção.
Técnica de concatenamento de arquivos ZIP
Os pesquisadores também observaram o uso de uma técnica chamada concatenação de arquivos ZIP, onde esse método consiste em anexar múltiplos arquivos ZIP em um único arquivo, o que pode confundir os softwares de descompactação, como 7-Zip e WinRAR, permitindo que os cibercriminosos escondam malwares nessas concatenações.
Esse truque explora a maneira como os programas leem e descompactam arquivos ZIP concatenados, o que pode permitir que o malware passe despercebido. Ao aproveitar essa discrepância entre programas de descompactação, os atacantes conseguem esconder suas cargas maliciosas e direcioná-las a usuários específicos, dependendo da ferramenta de compactação que eles utilizam.
Casos recentes e outras ameaças ativas
O grupo Venture Wolf, por exemplo, foi recentemente vinculado a ataques direcionados ao setor de manufatura, construção, TI e telecomunicações na Rússia. Eles utilizam o MetaStealer, uma variante do RedLine Stealer, que é especializado em roubar credenciais e outras informações sensíveis. Esses ataques se destacam por serem altamente direcionados e voltados a setores específicos, visando grandes organizações e setores industriais.
Proteção e recomendações de segurança
Para evitar ataques como os que utilizam o Remcos RAT e outras técnicas avançadas de phishing, é essencial adotar práticas de segurança cibernética robustas:
- Cuidado com e-mails de remetentes desconhecidos: Evite abrir anexos de e-mails suspeitos ou que contenham temas de pedidos de compra inesperados.
- Atualize seus programas e sistema operacional: Falhas conhecidas, como a CVE-2017-0199, já possuem correções disponíveis. Manter seus softwares atualizados é fundamental.
- Utilize ferramentas de segurança confiáveis: Invista em antivírus com recursos de detecção de ameaças avançadas, como análise de comportamento e proteção contra malwares sem arquivo.
- Evite baixar arquivos de fontes desconhecidas: Certifique-se de que os downloads são realizados de sites oficiais ou fontes confiáveis.
- Habilite proteções de e-mail corporativas: Empresas devem implementar soluções de segurança para e-mail, que ajudam a identificar e bloquear campanhas de phishing avançadas.
Conclusão
A evolução das táticas de cibercriminosos para driblar os sistemas de segurança demonstra a importância de uma proteção constante e atualizada. Com o uso de técnicas como malwares fileless e phishing avançado utilizando serviços legítimos, é cada vez mais crucial que empresas e usuários finais mantenham-se atentos e bem-informados sobre os métodos mais recentes de ataque.
Estar ciente dessas ameaças e seguir boas práticas de segurança são passos essenciais para reduzir a exposição a campanhas de malware e proteger informações valiosas contra crimes digitais sofisticados.
Fonte: https://thehackernews.com/2024/11/cybercriminals-use-excel-exploit-to.html