Hackers aprimoram golpes usando passaportes falsos e documentos sigilosos para acessar sistemas
A empresa de segurança cibernética Blackpoint Cyber identificou uma sofisticada campanha de spear phishing com foco em executivos e funcionários de alto escalão, explorando a confiança dos usuários em documentos aparentemente sigilosos. A tática utilizada pelos criminosos digitais inclui o envio de documentos falsos, como certificados, scans de passaportes e arquivos de pagamento, que, por mimetizarem a aparência de documentos familiares e genuínos, são abertos mais facilmente pelas vítimas sem qualquer suspeita.
Em uma análise detalhada de um dos casos, descobriu-se que o malware foi entregue através de um arquivo ZIP enganoso, imitando rotinas típicas do ambiente corporativo e incluindo etapas como verificação de identidade e aprovação de pagamento. A apresentação do arquivo como uma compactação comum e importante aumenta a probabilidade de que seja legitimamente aceito pelos destinatários.
Dentro desse arquivo ZIP, ao invés de conteúdos legítimos, os usuários encontrarão atalhos do Windows, conhecidos como arquivos .lnk. Ao clicar neles, um script PowerShell é executado, baixando arquivos maliciosos de uma fonte online específica. Este arquivo, disfarçado para parecer uma apresentação do PowerPoint, na realidade é uma DLL que aproveita o rundll32.exe do Windows, permitindo que se esconda no sistema e escape de detecções.
Essa técnica de ataque é denominada ‘living off the land’, referindo-se à habilidade do malware de operar utilizando os próprios recursos do sistema, dando-lhe a aparência de ser uma operação regular. Isso representa um desafio adicional para as soluções tradicionais de segurança digital, que podem falhar ao identificar atividades anômalas.
O estágio final do ataque envolve uma conexão com um endereço controlado pelos hackers, que funciona como um centro de comando e controle (C2), fornecendo aos criminosos acesso remoto à máquina infectada. A partir daí, é possível visualizar arquivos e introduzir outros malwares no sistema comprometido.
Uma inovação notável desse malware é sua capacidade de realizar verificações contra programas antivírus populares, como AVG, Avast, Bitdefender e Kaspersky. O malware procura por processos específicos, como avgui ou bdagent, adaptando sua execução baseado na presença ou ausência destes programas de segurança.
Enquanto o uso de atalhos do Windows pelos hackers não é uma novidade, a estratégia de spear phishing mascarada como documentos importantes é um desenvolvimento mais recente. Este nível de engenharia social torna o ataque extremamente convincente, demandando maior vigilância por parte dos usuários. Recomenda-se precaução ao lidar com atalhos, evitando abri-los sem antes confirmar sua origem e veracidade.
