São Paulo — InkDesign News — Uma nova campanha de malware multifásica foi detectada pela equipe de inteligência de ameaças Lat61 da empresa de segurança Point Wild, utilizando arquivos de atalho do Windows para disseminar um trojan de acesso remoto (RAT) conhecido como REMCOS.
Incidente e vulnerabilidade
De acordo com uma pesquisa liderada por Dr. Zulfikar Ramzan, CTO da Point Wild, a campanha se inicia com um arquivo de atalho aparentemente inofensivo, possivelmente anexado a um e-mail, com um nome como “ORDINE-DI-ACQUIST-7263535.” Quando o usuário clica, o arquivo LNK executa discretamente um comando PowerShell em segundo plano, descarregando e decodificando um payload oculto. O comando é projetado para baixar e decodificar um payload oculto sem emitir alertas de segurança, evitando a criação de arquivos ou o uso de macros.
Impacto e resposta
Após a execução inicial, o payload em Base64 é baixado de um servidor remoto e lançado como um arquivo executável .PIF, disfarçado como CHROME.PIF, permitindo a instalação do backdoor REMCOS. Esse malware concede controle total ao invasor sobre o sistema comprometido, possibilitando atividades maliciosas como keylogging para roubo de senhas e acesso a arquivos. Além disso, a ameaça inclui o controle da webcam e do microfone do computador, permitindo vigilância do usuário.
“Esses ataques podem se originar de qualquer lugar do mundo. É crucial que os usuários exerçam cautela ao lidar com arquivos de atalho de fontes não confiáveis.”
(“These attacks can originate from anywhere in the world. It is crucial for users to exercise caution when dealing with shortcut files from untrusted sources.”)— Dr. Zulfikar Ramzan, CTO, Point Wild
Mitigações recomendadas
Os pesquisadores recomendam que os usuários permaneçam cautelosos ao interagir com arquivos de atalho não confiáveis, verifiquem sempre os anexos antes de abri-los e utilizem software antivírus atualizado com proteção em tempo real. As hashes específicas do arquivo LNK, como MD5: ae8066bd5a66ce22f6a91bd935d4eee6, foram fornecidas para auxiliar na detecção.
“É imperativo que as organizações adotem medidas rigorosas de segurança para proteger seus sistemas contra essas ameaças emergentes.”
(“It is imperative that organizations adopt stringent security measures to protect their systems against these emerging threats.”)— Dr. Zulfikar Ramzan, CTO, Point Wild
O incidente destaca a necessidade de uma vigilância contínua às vulnerabilidades emergentes no cenário digital, sendo essencial a adoção de práticas de segurança robustas para mitigar os riscos potenciais de malwares avançados como o REMCOS.
Fonte: (Hack Read – Segurança Cibernética)
