Ataque usa erros falsos no Chrome, Word e OneDrive para instalar malware
Mensagens simulam problema para levar usuário a executar script. Malware pode ser usado para espionar, minerar criptomoedas ou até tomar controle do computador.
Mensagens simulam problema para levar usuário a executar script. Malware pode ser usado para espionar, minerar criptomoedas ou até tomar controle do computador.
Uma nova técnica de ataque engana usuários ao apresentar erros falsos no Google Chrome, no Word e no OneDrive. Ao seguir as instruções para corrigir o suposto problema, o usuário executa um script no Windows que abre as portas para o programa malicioso.
A ação foi identificada por analistas da empresa de cibersegurança Proofpoint. Eles descrevem formas diferentes de ataque, cada uma delas simulando o erro em um programa. Em comum, elas levam o usuário a abrir o PowerShell em modo de administrador e executar códigos que baixam o malware.
O primeiro método exibe uma janela de erro no Google Chrome em um site legítimo, mas comprometido. Ela apresenta instruções para “consertar” o problema: clicar em um botão para copiar um código, abrir o PowerShell e executar o comando copiado.
Caso o usuário siga estes passos, o script vai limpar o cache DNS e a área de transferência, exibir outra mensagem e baixar mais um código de PowerShell, que será executado na memória. Após uma série de passos, três malwares são baixados: um deles é um minerador de criptomoedas, e outros dois monitoram as atividades da vítima.
Os ataques envolvendo o Word e o OneDrive, na verdade, não usam os programas. Nestes casos, os atacantes enviam um email com um arquivo HTML em anexo. Esta página simula o Word ou o OneDrive com uma mensagem de erro.
A partir daí, a ação se dá de forma semelhante: o programa instrui o usuário a copiar um código, abrir o PowerShell como administrador e colar os comandos lá. Após uma série de passos, os scripts instalam malwares como o DarkGate (usado para monitorar atividades) ou o Matanbuchus (que dá ao atacante controle sobre a máquina da vítima).
Com informações: Proofpoint, Bleeping Computer