São Paulo — InkDesign News — A recente onda de ataques de phishing identificada pela Blackpoint Cyber explora a confiança dos usuários em documentos sensíveis, utilizando arquivos ZIP disfarçados como documentos certificados e de pagamento. Essa campanha destoa-se pela sofisticidade e pela nova abordagem de engenharia social.
Incidente e vulnerabilidade
A Blackpoint Cyber relatou que os atacantes estão utilizando uma técnica de phishing que envolve archives ZIP, contendo arquivos disfarçados como documentos importantes, em particular, arquivos de atalho do Windows (extensão .lnk). O ataque se inicia quando a vítima recebe um arquivo ZIP aparentemente inofensivo, que, ao ser aberto, ativa scripts maliciosos via PowerShell, permitindo o download de um payload disfarçado. Esse método é uma variação refinada de ataques anteriores, em que os arquivos infectados são minimamente visíveis e se apresentam como parte do fluxo normal de trabalho.
Impacto e resposta
Uma vez que o malware é instalado, os atacantes podem acessar remotamente o computador da vítima e explorar dados sensíveis. A equipe de operações de segurança da Blackpoint observou que o malware utiliza uma técnica chamada ‘living off the land’, empregando ferramentas legítimas do Windows, facilitando assim a evasão de técnicas de detecção. Como resultado, os sistemas infectados podem ser utilizados para espionagem ou como ponto de partida para a instalação de ataques adicionais.
“Utilizar um arquivo de atalho do Windows para espalhar malware não é algo novo, mas a abordagem atual, que disfarça os arquivos maliciosos em ZIP, torna o ataque mais convincente.”
(“Using a Windows shortcut file to spread malware is not new, but the current approach of disguising the malicious files within ZIP archives makes the attack more convincing.”)— Pesquisador, Blackpoint Cyber
Mitigações recomendadas
Para combater a nova onda de phishing, recomenda-se que empresas e usuários sejam cautelosos ao abrir arquivos de atalho e ZIP. É aconselhável implementar políticas rigorosas que proíbam a execução de arquivos de atalho e monitorar o funcionamento de ferramentas como PowerShell e rundll32.exe. A atualização de sistemas e a instalação de patches de segurança são essenciais para minimizar riscos e proteger informações sensíveis.
“As organizações devem adotar práticas que inibam a execução descuidada de arquivos de atalho e monitorar como suas máquinas executam scripts maliciosos.”
(“Organizations are urged to implement practices that prohibit careless execution of shortcut files and monitor how their machines execute malicious scripts.”)— Analista de Segurança, Blackpoint Cyber
Embora as medidas de segurança possam reduzir riscos significativos, a vigilância contínua e a educação dos colaboradores sobre práticas de segurança cibernética permanecem fundamentais para mitigar ameaças futuras.
Fonte: (Hack Read – Segurança Cibernética)
