OSamadores também amam a música; pelo menos esse hacker que usou a letra popular da música de Drake "In My Feelings" para soltar um malware certamente adora hip hop. Conforme divulgado pela AppRiver , uma empresa de segurança cibernética, uma campanha de malware que se espalhava pelo Powerpoint tinha as letras escondidas dentro de um comando do Powershell.
O hacker em questão que usa o pseudônimo "Master X" descarta os malwares Lokibot ou Azorult, dependendo do usuário que ele está alvejando. Lokibot é um ladrão de informações, enquanto Azorult é um cavalo de Tróia de acesso remoto (RAT) que infecta computadores.
O ataque é iniciado com um email que se disfarça de correio corporativo para segmentar empresas. O email contém anexos maliciosos do Powerpoint, como o fornecido na captura de tela abaixo:
Quando um usuário abre o anexo, um script visual basic muito ofuscado é executado. Esse script usa o host de aplicativos HTML da Microsoft (mshta.exe) para redirecionar para um URL encurtado em bit (hxxp: //j.mp? *) Para evitar os mecanismos de segurança implantados no navegador.
A próxima etapa envolve encerrar o Excel ou Word (se estiver executando) usando o seguinte comando:
“C: \ Windows \ System32 \ cmd.exe” / c taskkill / f / im excel.exe e taskkill / f / im winword.exe
Em seguida, é criada uma tarefa agendada que alcança o URL Pastebin a cada 60 minutos para recuperar um script que decide se o usuário será direcionado com carga útil Lokibot ou Azorult.
Quando o script é decodificado e traduzido para um script do PowerShell, ele contém uma referência às letras populares da música "In My Feelings" de Drake. O hacker usou a letra no cmdlet da expressão de chamada.
O script baixa um arquivo executável malicioso chamado calc.exe, que infecta o PC dos usuários.
Não é certo se o malware é bem-sucedido ou não, pois não infectou um grande número de pessoas a partir de agora.
No entanto, o hacker surpreendeu a todos com seu humor e inteligência ao adicionar as letras de Drake como cartão de visita no malware.
