CVs, a ferramenta perfeita para fornecer malware

Ajude um amigo, compartilhe:

Os cibercriminosos têm uma série de técnicas para acessar os sistemas de TI de suas vítimas: vulnerabilidades, redes sociais e muitos outros meios . O método mais popular, no entanto, é o e-mail: de acordo com fontes do setor, 91% do crime cibernético começa com um e-mail de phishing.

Quasar: uma nova versão de uma tática popular

No final de agosto, os pesquisadores de segurança descobriram uma nova campanha de phishing que usa um método particularmente enganoso para inserir malware no sistema de uma empresa: o malware fica oculto nos currículos enviados como anexos, supostamente de alguém que procura emprego na organização. As plataformas digitais têm vantagens e desvantagens para o departamento de recursos humanos. Por um lado, eles podem ajudar enormemente a otimizar o processo de seleção. Por outro lado, eles têm alguns pontos fracos, entre os quais a segurança de TI. Os cibercriminosos aproveitam o fato de que as empresas recebem dezenas de documentos relacionados aos seus processos de seleção para enviar documentos contendo malware.

No caso analisado, o malware que foi entregue nos CVs é chamado Quasar e é um Trojan de acesso remoto (RAT) que é popular entre os APTs. Isso indica que esta campanha está sendo realizada por cibercriminosos profissionais que procuram usar essa ferramenta para explorar as redes de suas vítimas, roubar seus dados ou até criptografar seus sistemas com ransomware.

CVs

Uma campanha enganosamente simples

À primeira vista, a campanha parece relativamente simples – um documento malicioso do Word anexado a um e-mail – mas uma investigação mais detalhada revela que os atacantes sabem exatamente o que estão fazendo. Para começar, o uso de uma ferramenta facilmente acessível (o Quasar está disponível no GitHub) dificulta muito a atribuição dessa campanha a qualquer grupo específico.

O documento do Word também contém vários métodos para evitar a detecção: ele é protegido com uma senha e inclui macros. A senha que ele usa – 123 – não é especialmente inovadora. No entanto, para sistemas automatizados que analisam anexos e e-mails separadamente, significa que o documento será aberto sem detectar nenhuma atividade maliciosa, pois o sistema não determinará a necessidade de uma senha para acessar todas as informações.

Se um analista ou sistema automatizado tentasse analisar as macros, o script provavelmente falharia e travaria porque as mais de 1.200 linhas de código de lixo que ele contém usariam muita memória. Isso dificulta a descoberta do URL da carga útil final.

Uma medida final para evitar a detecção é o download de um executável de extração automática da Microsoft que descompacta um binário Quasar RAT de 401 MB. Esse arquivo artificialmente grande significa que o RAT não pode ser compartilhado no VirusTotal, um site que fornece análise de ameaças cibernéticas. Como resultado, é muito difícil analisar essa ameaça.

data security isometric illustration 04 1 - DT Network

Existe alguma maneira de evitar essa ameaça?

Embora possa parecer que esse tipo de ameaça é imparável, existem maneiras de evitá-la. A primeira coisa que precisa ser feita é realizar campanhas de conscientização voltadas para o elo mais fraco da cadeia de segurança cibernética de uma empresa: seus funcionários, independentemente de qual departamento eles pertencem.

É essencial que eles sejam capazes de reconhecer e-mails suspeitos, por mais autênticos que pareçam; que eles saibam que nunca se deve abrir anexos de remetentes desconhecidos; e que, se tiverem a menor dúvida, devem entrar em contato com o departamento de TI para perguntar sobre os próximos passos a serem seguidos.

Outro passo vital é ter soluções avançadas de segurança cibernética. O Panda Adaptive Defense possui uma tecnologia anti-exploit capaz de detectar scripts e macros maliciosos. Ele também analisa continuamente todas as atividades do sistema, bem como todos os aplicativos ativos. Dessa forma, se detectar qualquer atividade suspeita ou fora do comum, poderá interromper o processo e impedir que a ameaça cibernética danifique a organização.

Os esforços dos cibercriminosos para entrar nas organizações e contornar as medidas de proteção não vão parar de evoluir e se tornar mais sofisticados. É por isso que é vital que você fique de olho em seu e-mail, um dos pontos de entrada mais populares para os criminosos cibernéticos, e fique atualizado com as últimas tendências de segurança cibernética.

Esse artigo foi útil para você?

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *