Pesquisadores da Blackpoint Security Operations Center (SOC) encontraram uma nova campanha de phishing que usa arquivos zip fraudulentos para roubar dados. O esquema mira primordialmente executivos e pessoas que lidam com documentos sensíveis, compartilhando arquivos maliciosos com os usuários.
Tudo começa quando a vítima recebe um documento aparentemente normal e compactado em uma pasta do tipo “.zip”. Esses arquivos assumem formas diversas, como passaportes, folha de pagamento, documentos sigilosos, etc. Ao ser descompactado e aberto, o arquivo se revela como um atalho “.ink” do Windows.
smart_display
Nossos vídeos em destaque
Quando esse mesmo atalho é executado pelo usuário, o arquivo ativa um comando oculto que roda o PowerShell, uma ferramenta de automação e gerenciamento do sistema. Uma vez no computador, o programa roda o mecanismo rundll32.exe, usado geralmente para tarefas legítimas, mas que dessa vez é usado para executar o código invasor.
Esse tipo de malware é ainda mais perigoso para funcionários de alto escalão de empresas (Imagem: GettyImages)
O que acontece com o computador da vítima?
Assim que o agente malicioso se instala na máquina, o passo final do malware é estabelecer uma conexão remota por meio de um servidor C2 com o cibercriminoso. Dessa forma, esse arquivo infectado consegue fazer com que o atacante controle remotamente o computador da vítima.
Casos como esse fazem com que o hacker em questão consiga acessar dados sigilosos do usuário;
No processo, também é possível que o atacante instale outros malwares escondidos para continuar retirando dados;
O malware também passa despercebido por antivírus clássicos, como AVG, Avast e Bitdefender;
A abordagem do ataque usa engenharia social para se aproximar das vítimas com supostos documentos potencialmente importantes para ela.
A principal recomendação para se proteger é nunca baixar ou executar arquivos enviados por meio de fontes duvidosas. Sempre faça download através de sites confiáveis, destinatários verificados e nunca abra links de emails que você não sabe a procedência exata.
Para mais informações sobre cibersegurança e golpes, fique de olho no site do TecMundo para não perder nada.
Perguntas Frequentes
Como funciona o golpe que usa arquivos .zip para roubar dados?keyboard_arrow_down
O golpe começa com o envio de um arquivo compactado no formato .zip, que simula ser um documento legítimo, como passaportes ou folhas de pagamento. Ao descompactar e abrir o arquivo, o usuário executa um atalho .lnk do Windows, que ativa comandos ocultos via PowerShell. Isso permite que o invasor execute um código malicioso usando o rundll32.exe e, por fim, controle remotamente o computador da vítima.
O que é PowerShell e por que ele é usado nesse tipo de ataque?keyboard_arrow_down
PowerShell é uma ferramenta de automação e gerenciamento do sistema operacional Windows. No contexto do ataque, ele é utilizado para executar comandos maliciosos de forma discreta, permitindo que o invasor instale o malware e estabeleça uma conexão remota com o computador da vítima.
Quem são os principais alvos desse tipo de malware?keyboard_arrow_down
O ataque tem como alvo principal executivos e pessoas que lidam com documentos sensíveis. Isso porque esses usuários são mais propensos a abrir arquivos que aparentam ser importantes ou confidenciais, como contratos ou documentos financeiros.
O que acontece com o computador após a infecção?keyboard_arrow_down
Após a infecção, o malware estabelece uma conexão com um servidor C2 (comando e controle), permitindo que o cibercriminoso controle remotamente o computador da vítima. Isso possibilita o roubo de dados sigilosos e a instalação de outros malwares para manter o acesso ao sistema.
Por que esse malware consegue passar despercebido por antivírus tradicionais?keyboard_arrow_down
O malware utiliza técnicas sofisticadas, como o uso de atalhos e execução de comandos via PowerShell, o que dificulta sua detecção por antivírus tradicionais como AVG, Avast e Bitdefender. Esses programas podem não identificar o comportamento como malicioso de imediato.
O que é engenharia social e como ela é usada nesse golpe?keyboard_arrow_down
Engenharia social é uma técnica usada por cibercriminosos para manipular as vítimas e levá-las a realizar ações que comprometem sua segurança. No caso desse golpe, os atacantes enviam arquivos que parecem ser documentos importantes para enganar o usuário e induzi-lo a abrir o conteúdo malicioso.
Como posso me proteger desse tipo de ataque?keyboard_arrow_down
A principal recomendação é nunca baixar ou executar arquivos de fontes duvidosas. Sempre verifique a procedência do remetente, evite clicar em links desconhecidos e prefira fazer downloads apenas de sites confiáveis e verificados.
){kind=small}
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
