Documentos do MS Word e Scripts do PowerShell Habilitados para Macro Usados em Ataques de um Malware Indetectável
Os criadores de malware estão sempre em busca de novos métodos para explorar computadores e atacá-los de maneiras que minam a capacidade de detectar e remover essas ameaças. Nas últimas realizações de hackers e cibercriminosos, o uso de documentos do MS Word habilitados para macro e o Windows PowerShell está sendo explorado para fornecer malware sem arquivo.
Os cibercriminosos e os criadores de malware agora estão prestando atenção especial ao trabalho de seus pares e ao que a comunidade de segurança cibernética está fazendo para combater ameaças emergentes. Com essas informações em mãos, os vendedores de malware podem aproveitar o uso de documentos do MS Word e do PowerShell habilitados para macro para espalhar malware. A campanha que parece nova, mas que não é necessariamente nova, foi vista pela primeira vez sendo usada na natureza principalmente para evitar a detecção.
Os pesquisadores de segurança da Palo Alto Networks fizeram a descoberta da campanha e só detectaram cerca de 1.500 e-mails de spam usando a técnica de espalhar malware por meio de documentos do Word habilitados para macro e arquivos do Windows PowerShell tais como anexos .
Há um certo caso irônico quando se trata de documentos do Word habilitados para macro que contêm malware. Se você reconsiderar ou pesquisar ameaças de malware e vírus de computador muito mais antigas, deparará com instâncias que ocorreram possivelmente há mais de dez anos em que as ameaças foram disseminadas pelas macros do Word. Acontece que os criadores de malware não abandonaram completamente sua idéia antiga e o que era antigo agora é novo novamente, apenas os documentos do Word habilitados para macro maliciosos mais recentes são executados automaticamente quando o documento é aberto para instalações do MS Office onde as macros do Word estão ativadas.
Pesquisadores da Palo Alto Networks estão alegando que a nova campanha de uso de arquivos infectados de macro do Word contém a capacidade de iniciar uma instância oculta do Windows PowerShell e baixar scripts maliciosos que são posteriormente executados pelo processo do PowerShell. O PowerShell é conhecido por ser uma linguagem de script poderosa que teve sua concepção a partir do lançamento do Windows 7. Os scripts usados suportam plataformas de 32 e 64 bits, cobrindo uma grande variedade de sistemas. Mesmo assim, a sofisticação dos scripts leva à verificação de que o computador não é uma máquina virtual, executando aplicativos de depuração ou um tipo específico de sistema usado em um ambiente educacional ou hospitalar.
As muitas verificações e testes realizados pela nova onda de malware de documento do Word habilitado para macro comprovam sua sofisticação recém-descoberta, na tentativa de não apenas evitar a detecção e remoção, mas também efetivamente infectar os sistemas de destino.
Ao divulgar os detalhes sobre o mais recente malware de documento do Word habilitado para macro, a Palo Alto Networks também concluiu que a ameaça é gravada diretamente na memória do computador sem vasculhar o disco rígido. Por meio da proteção do download de malware, os scripts baixam instruções dos servidores de C&C (Comando e Controle) para determinar qual família de malware deve ser baixada e instalada.
Até agora, a campanha que utiliza documentos do Word habilitados para macro para espalhar malware tem como alvo computadores localizados nos EUA, Canadá, Áustria, Alemanha, França, Polônia e Reino Unido. À medida que as ameaças avançam, esperamos que a mistura mal-intencionada chegue a outros países ao redor do mundo, especialmente considerando a capacidade da ameaça de evitar a detecção e restringir inteligentemente sua perspectiva de alvo.