Esqueça os trojans bancários
simples e bobinhos do passado – o cibercrime brasileiro está evoluindo a passos
largos, criando pragas mais complexas e ataques mais bem preparados,
usando exploit kits e explorando
vulnerabilidades recém corrigidas. Nesta semana a Kaspersky Lab encontrou um
ataque incomum entre cibercriminosos brasileiros que usa arquivos maliciosos do
Office, mais especificamente um arquivo RTF que chega anexado a uma mensagem de
e-mail.
Através da distribuição de um
arquivo RTF malicioso, os criminosos esperam infectar a vítima que abrir o
arquivo, usando-o como vetor de instalação de trojans bancários. O e-mail chega
com o título “Comprovante Internet Banking”:
Se o usuário abrir o arquivo,
verá essa tela solicitando que ele dê duplo clique na imagem do recibo:
Logo após será oferecido a
execução de um arquivo .CPL – caso seja executado, a infecção se iniciará:
Nesse caso o arquivo CPL está
inserido dentro do arquivo RTF. Mesmo tendo a extensão CPL (Control Panel
Library), trata-se de um executável normal, como um .exe. Isso acontece porque
tanto o Word como o WordPad (e outros editores de texto) permitem a inserção de
objetos no documento, que podem ser arquivos executáveis:
O arquivo CPL é um trojan
bancário da família Trojan.Win32.ChePro, depois de executado ele
irá baixar diversos outros arquivos para o sistema da vítima e instalar a
infecção. O uso dessa técnica permite aos cibercriminosos burlar os filtros de
e-mail por extensões de arquivos, visto que raramente arquivos DOC e RTF são
bloqueados.
Nós temos certeza que tal
técnica passará a ser usada com mais frequência entre os cibercriminosos
brasileiros.
Nossos usuários estão
protegidos pela tecnologia AEP (Automated Exploit Prevention), presente em
nossos produtos. Além disso, o arquivo RTF malicioso é detectado e bloqueado.
Nenhum comentário:
Postar um comentário