A Libraesva, empresa especializada em segurança de email, eleva o nível dealerta sobre uma nova tendência de ataques cibernéticosque são acionados nos PCs dos usuários com a ativação de macros do Excel.
Libraesva, especialista em segurança de e-mail, eleva o nível dealerta sobre uma nova tendência de ataques cibernéticosque são acionados em PCs de usuários com a ativação de macros do Excel. “Não é novidade ver funcionalidades do pacote Office usadas como vetores de acesso para pessoas mal-intencionadas, mas nossas análises recentes estão encontrando uma tendência crescente de hackers em inserir código malicioso em correspondência específica de uma das maisantigas funcionalidades do Excel – a Macro-Formula, também conhecida como Macro XLM. Preocupa também o fato de que estecódigo malicioso não está sendo interceptado por 90% dos antivírus”, declaraRodolfo Saccani, R&D Security Managerda empresa.
Excel é uma ferramenta do pacote Office conhecida por todos, amplamente utilizada no âmbito privado e, principalmente, corporativo, por exemplo, para cálculos, previsões e orçamentos. Com o aprimoramento ao longo do tempo das soluções da Microsoft, algumas funcionalidades das versões iniciais foram mantidas válidas e, portanto, ainda são suportadas hoje, que agora estão se mostrando ser objeto de interesse de atacantes que as utilizam comovetores de acessoaos sistemas de TI dos usuários e, portanto, de propagação de campanhas maliciosas.
A funcionalidade Macro-Formula presente em todos os Excel é usada para veicular um droppercapaz de hospedar formas de malware de várias naturezas, trojans bancários, vírus, etc., tornando-se assim adaptável para realizar intenções maliciosas cada vez mais diferentes. Do ponto de vista técnico,no momento em que o usuário ativa o prompt ‘ATIVAR MACRO’, o código malicioso cria uma fórmula coletando dados de várias células diferentes e fazendo algumas transformações na escrita do código de difícil identificação. Em seguida, aplica a fórmula usando a declaração FORMULA.FILL.
Mais do que a tipologia específica de malware, é o padrão de ataque que a Libraesva investiga, partindo do pressuposto de que nenhum tipo de execução deve ser permitido para documentos entregues por e-mail, e bloqueando, portanto, qualquer suspeita na sandbox QuickSand para analisá-lo.
Este fenômeno deatacar via Excelcomeçou a se apresentarno início de maioe continua a se manifestar sem parar desde então. “Nos EsvaLabs, notamos uma mudança nos métodos de ataque entre abril e maio: no primeiro mês, na verdade, os hackers mostravam preferência em inserir em droppers códigos mais facilmente reconhecíveis pelos filtros antivírus. Neste mês de maio, os conteúdos desses ‘cavalos de Troia’ apresentam, ao contrário, formas de ataque cada vez novas e diversificadas” precisa o gerente. Considerando o fato de queo código malicioso é acionado justamente pelo usuáriono momento em que permite a ativação das Macros no Excel, é fácil entender por que até mesmo os filtros de segurança mais difundidos não conseguem interceptar imediatamente a ameaça potencial, permitindo que os e-mails que a contêm passem e cheguem à caixa de correio eletrônico do usuário final.
“Os e-mails continuam sendo o vetor preferencial dos cibercriminosos para minar a segurança e a reputação de empresas, instituições de crédito e bancárias, e sujeitos privados. São testemunhos disso as muitas campanhas que interceptamos diariamente nos EsvaLabs, não por último acampanha de phishing massivoque interessou os usuários italianos nesses meses delockdown por Covid-19, em que este tópico foi usado pelos atacantes para induzir os usuários a abrir anexos ou links em e-mails aparentemente inofensivos, e como se pode imaginar de elevado interesse informativo, para realizar os intentos de roubo de credenciais e de dados pessoais”comenta Paolo Frizzi, CEO da Libraesva. “É importante renovar mais uma vez o convite para prestar a máxima atenção às comunicações que chegam por e-mail, à sua forma e conteúdo, em particular aos anexos, mesmo quando provêm de remetentes conhecidos. As evidências mostram, de facto, como infelizmente os primeiros ‘parceiros’ dos atacantes somos nós mesmos, utilizadores individuais de correio eletrónico, que com um simples clique – de ativação neste caso de uma Macro-Formula em Excel – desarmamos a bomba contra os nossos próprios sistemas sem o saber”.
Pubblicato in Guias e tutoriais
Seja o primeiro a comentar