Pesquisadores de seguran\u00e7a da Fortinet recentemente descobriram uma campanha maliciosa que aproveita e-mails corporativos falsificados para disseminar o XWorm, um malware que pode assumir o controle total de computadores com o sistema operacional Windows. Este ataque ocorre de forma discreta, sem que a v\u00edtima perceba que algo est\u00e1 errado.<\/p>\n\n\n\n
A abordagem inicial do ataque envolve o envio de um e-mail de phishing, onde os criminosos se disfar\u00e7am de entidades leg\u00edtimas. Nesses e-mails, um anexo no formato .XLAM, um tipo de suplemento do Excel, \u00e9 enviado. A comunica\u00e7\u00e3o \u00e9 cuidadosamente elaborada para imitar mensagens comuns do ambiente corporativo, como solicita\u00e7\u00f5es de pagamento ou documentos financeiros, e convida o destinat\u00e1rio a abrir o arquivo para obter mais informa\u00e7\u00f5es.<\/p>\n\n\n\n
O ataque se aproveita de uma vulnerabilidade conhecida, identificada em 2018, que ainda afeta sistemas que n\u00e3o foram atualizados. Dentro da planilha, um objeto OLE corrompido utiliza um componente antigo do Microsoft Office, o EQNEDT32.EXE, para ativar o malware. Esta falha, catalogada como CVE-2018-0802, permite a execu\u00e7\u00e3o remota de c\u00f3digo, dando aos atacantes a capacidade de controlar a m\u00e1quina da v\u00edtima \u00e0 dist\u00e2ncia.<\/p>\n\n\n\n
Ao explorar a vulnerabilidade, um c\u00f3digo malicioso \u00e9 executado em segundo plano e se conecta \u00e0 internet para baixar um arquivo HTA, que possui acesso total ao sistema. O HTA \u00e9 disfar\u00e7ado para dificultar a detec\u00e7\u00e3o por ferramentas de seguran\u00e7a, utilizando um formato codificado e incorporando um m\u00f3dulo completo dentro de uma imagem JPEG por meio de esteganografia.<\/p>\n\n\n\n
Uma vez que o m\u00f3dulo \u00e9 ativado, ele baixa o XWorm, que \u00e9 ent\u00e3o injetado em um processo leg\u00edtimo do Microsoft, o Msbuild.exe. Essa t\u00e9cnica, conhecida como esvaziamento de processo, permite que o malware seja executado sem levantar suspeitas. Para sistemas de monitoramento, tudo parece estar funcionando normalmente, enquanto o XWorm ganha controle sobre a m\u00e1quina da v\u00edtima.<\/p>\n\n\n\n
A vers\u00e3o do XWorm utilizada nesta campanha \u00e9 a 7.2, que se conecta a um servidor de comando e controle atrav\u00e9s de criptografia AES. Essa conex\u00e3o permite que os criminosos adquiram informa\u00e7\u00f5es detalhadas sobre a m\u00e1quina da v\u00edtima, como nome de usu\u00e1rio, vers\u00e3o do sistema operacional e informa\u00e7\u00f5es sobre o hardware. Com isso, os atacantes conseguem controlar remotamente o mouse e o teclado, acessar a c\u00e2mera e o microfone, al\u00e9m de roubar senhas e outras informa\u00e7\u00f5es sens\u00edveis.<\/p>\n\n\n\n
Esta nova campanha evidencia a import\u00e2ncia cr\u00edtica de manter sistemas operacionais e softwares atualizados para proteger contra vulnerabilidades conhecidas. Al\u00e9m disso, a conscientiza\u00e7\u00e3o sobre tentativas de phishing e a preven\u00e7\u00e3o de ataques cibern\u00e9ticos s\u00e3o fundamentais para garantir a seguran\u00e7a das informa\u00e7\u00f5es e do acesso a dispositivos pessoais e corporativos.<\/p>\n","protected":false},"excerpt":{"rendered":"
Pesquisadores de seguran\u00e7a da Fortinet recentemente descobriram uma campanha maliciosa que aproveita e-mails corporativos falsificados para disseminar o XWorm, um malware que pode assumir o controle total de computadores com o sistema operacional Windows. Este ataque ocorre de forma discreta, sem que a v\u00edtima perceba que algo est\u00e1 errado. A Estrat\u00e9gia do Ataque: E-mails Falsificados […]<\/p>\n","protected":false},"author":4,"featured_media":7363,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[391],"tags":[1099,1098,1095,1094,1096,637,107,1097],"class_list":["post-7362","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-atualizacao","tag-ciberseguranca","tag-excel","tag-malware","tag-phishing","tag-seguranca","tag-xgrid-1","tag-xworm"],"_links":{"self":[{"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/posts\/7362","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/comments?post=7362"}],"version-history":[{"count":1,"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/posts\/7362\/revisions"}],"predecessor-version":[{"id":7373,"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/posts\/7362\/revisions\/7373"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/media\/7363"}],"wp:attachment":[{"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/media?parent=7362"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/categories?post=7362"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.7tvs.com.br\/7tvs\/wp-json\/wp\/v2\/tags?post=7362"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}