NOTÍCIAS

[ANONYMOUS][grids]

Malware 'Aggah' infecta seus PCs através do Microsoft Word

Tempo de leitura: 1min

Leia também

Malware 'Aggah' infecta seus PCs através do Microsoft Word Docs



Omais recente de uma série de ataques on-line é o "Aggah", uma campanha global de malware com raízes no Oriente Médio. O Windows Malware inclui um script de Trojan que está sendo distribuído através de um documento do Microsoft Word infectado. Os perpetradores estão enganando os usuários para que baixem e ativem o código malicioso usando o RevengeRAT.
Como o RevengeRat é composto por várias construções de cavalos de Tróia de código aberto, é muito difícil identificar o spammer real. As pessoas envolvidas nisso estão usando o apelido 'haggah' para realizar sua operação.

Windows Malware: Como funciona 'Aggah'?

Um ataque de malware na campanha Aggah consiste em três etapas principais.
  • Enviar por e-mail um documento do Word intitulado "Activity.doc" para o destino
  • Solicitar que os usuários ativem o conteúdo, ajudando o documento a executar macros
  • Um comando do Shell redireciona o usuário para um site do Blogspot que faz o download de scripts mal-intencionados
O malware na campanha Aggah funciona de maneira muito discreta e em um grande número de etapas iniciadas por uma macro.

 Leia TambémRevengeRAT distribuído via Bit.ly, BlogSpot e Pastebin

A Fraqueza Sendo Explorada




Detalhes do malware do Windows
Imagens: Shutterstock

No Microsoft Open Office XML (OOXML), os documentos de formato antigo (.doc, .ppt) foram substituídos pelo novo formato baseado em XML (.docx, .pptx).
Os arquivos OOXML são compostos de arquivos ZIP, chamados de 'Partes', que são responsáveis ​​por renderizar um documento quando ele é aberto.
A renderização de peças é regulada por "Propriedades", que podem ou não referenciar recursos compartilhados públicos usando URLs. Isso pode ser explorado por hackers. Sempre que tal documento é aberto, deixa espaço para que os hackers carreguem um script mal-intencionado em vez do documento real via Template Injection.
Definição de injeção de modelo
Injeção de modelo é o processo de substituir o blueprint de um documento do lado do servidor por um código mal-intencionado, para ser injetado no documento de um usuário desavisado.
O malware mais recente do Windows usa as seguintes etapas para explorar o recurso mencionado acima:
  1. O usuário recebe um e-mail intitulado "Sua conta está bloqueada" anexado a um documento do Word "Activity.doc".
    SHA256 do arquivo 'Activity.doc'
    5f762589cdb8955308db4bba140129f172bf2dbc1e979137b6cc7949f7b19e6f
  2. O documento contém esta foto pedindo aos usuários para 'visualizar na área de trabalho', 'Ativar edição' e 'Ativar conteúdo'
  3. A ativação do conteúdo é o objetivo final, em seguida, ele busca e carrega um documento OLE de um servidor remoto, que contém um RTF (Rich Text Format), usando a Injeção de modelo.
  4. O RTF executa uma planilha do Excel contendo uma macro fortemente criptografada que carrega uma URL usando o comando Shell para acessar o kernel do SO.
  5. O comando Shell faz o download do conteúdo da URL de um site do Blogspot.
  6. O lado do Blogspot contém vários scripts Jawa que desabilitam o Microsoft Defender alterando sua assinatura e também desativam as funções do MS Office.
  7. Em seguida, o Jawa Script altera os principais valores de registro dos aplicativos do MS Office para 1.
  8. Depois disso, o script desativa o Microsoft ProtectedView.
  9. O script usa o Pastebin para baixar o código malicioso e executar os comandos do Shell.
Esta campanha de malware tem como alvo instituições financeiras, órgãos governamentais, instituições de ensino, agências de marketing, etc.
A campanha de malware do Windows foi identificada pela Cybersecurity Researchers, Unit42, com sede em Palo Alto.

Como ficar seguro

Atualmente, é aconselhável não abrir nenhum documento do word similar ao mencionado acima. Além disso, não ative o 'conteúdo' no MS Word e apenas abra documentos suspeitos usando o Office 365, pois as macros não podem ser ativadas nele.
Ataques de malware têm visto um aumento significativo nos últimos anos. De pirateados Game of Thrones para documentos do Microsoft Word, tudo o que tem o potencial para direcionar o tráfego pesado está sendo atado com Malware.
Vários Ransomware também causaram estragos, particularmente na indústria de engenharia industrial, causando centenas de milhares de dólares em danos. Além disso, vários novos tipos de Ransomware também estão em ascensão, disfarçando-se como modificadores de aprimoramento do PC enquanto criptografam os arquivos do usuário.
No mundo em rápida evolução de hoje, é aconselhável ficar um passo à frente para se manter seguro.


Tags: