O malware de Macro está de volta

macro-malwareEngenharia social eleva os níveis do macro malware ao maior nível em seis anos.

“Aviso: este documento contém macros”. Uma mensagem conhecida na década de 90 voltou, pois os cibercriminosos encontraram novas maneiras de induzir as pessoas a abrirem documentos que contêm macro malwares. Esta ameaça atualizada é dirigida aos usuários de empresas de grande porte que utilizam macros com frequência. E-mails cuidadosamente trabalhados, com engenharia social, induzem os usuários a abrirem documentos aparentemente legítimos e, depois, ativar o macro. Segundo o mais recente Relatório do McAfee Labs sobre Ameaças, os incidentes com macros mal-intencionadas quadruplicaram no último ano.

Os alvos mais frequentes do macro malware são documentos do Microsoft Office, especialmente os arquivos do Word. O Word permite que os macros sejam executadas automaticamente, por exemplo, quando um usuário abre um documento, o fecha ou cria um novo documento. Esses comandos são normalmente utilizados por macros legítimos e mal-intencionados.

O caminho para uma infecção de sistemas de ampla escala, através de macro malware, geralmente começa com um anexo de e-mail feito para parecer legítimo, muitas vezes socialmente projetado de acordo com o usuário-alvo. Entre os assuntos mais comuns estão frases como solicitação de pagamento, notificação de correio, currículo, nota fiscal de venda e confirmação de doação. O texto do e-mail corresponde ao assunto, com informações suficientes para fazer com que o anexo seja aberto, inclusive assinaturas e logotipos com aparências oficiais.

Depois que ele for aberto, os recursos de segurança do Microsoft Office avisam o usuário que o arquivo contém macros e perguntam se ele quer ativá-las. Alguns desses arquivos têm textos extensos, afirmando que são protegidos e que devem ser ativados para que eles sejam lidos. Se o usuário clicar em “Ativar”, o código malicioso é executado, instalando um programa para baixar no sistema o malware que trará a carga real, e depois, na maioria das vezes exclui a si mesmo. O código malicioso também pode ser incorporado ao documento como um Objeto Ativo, que também gera avisos quando clicado, mas é possível que muitos usuários não estejam familiarizados com o potencial de ameaça desses arquivos.

Uma das maiores mudanças nos macro malwares, desde a última grande infestação, é a sua atual capacidade de se esconder, dificultando muito a sua detecção. Os criadores de macro malwares adotaram diversas técnicas de outros tipos de malware, entre elas, a inclusão de código de “lixo” e escrevendo strings criptografadas complexas. O código de “lixo” é apenas isso, um código que não é para ser executado, mas pode ser facilmente gerado e alterado frequentemente para derrotar os algoritmos de detecção de assinaturas e confundir os pesquisadores de ameaças. Mais complicado é a utilização de várias funções simples, tais como conversão de caracteres, para ocultar a URL mal-intencionada de gateways de e-mail e de varreduras de palavras-chave de malware.

A simplicidade e facilidade de codificação dos macros as torna acessíveis a uma ampla gama de criminosos com pouco conhecimento tecnológico. Por isso, o possível alcance e a possível eficácia dos macro malwares significam que as empresas devem reeducar os usuários sobre essa ameaça. Além disso, o sistema operacional e os aplicativos devem ser mantidos atualizados, e as configurações de segurança de macros de todos os produtos do Microsoft Office devem ser definidas como Alta. Os aplicativos de e-mail não devem abrir automaticamente os anexos. Os gateways de e-mail e scanners de vírus também devem ser configurados para procurar e filtrar anexos de e-mail que contenham macros.

Opinião do seu micro seguro: já recebi em minha caixa postal mensagens contendo macros maliciosas, demonstrando na prática de que de fato essa modalidade de ataque e ameaça à segurança digital está de volta. Muita atenção e cuidado são fundamentais para evitar surpresas desagradáveis. Evitar a execução automática de Macros é a mais importante de todas essas medidas.

Agradecemos ao  Davi e ao Paulo Sollo, colaboradores amigos do seu micro seguro, pela referência a essa notícia.

Fonte: CIO

3 Responses to O malware de Macro está de volta

  1. Augusto says:

    é esses malwares de macro já deram muita dor de cabeça em arquivos do Word, transformando muitos documentos em linguagem de máquina, ai vai para o beleleu não tem como recuperar mais. Por isso é importante sempre usar um bom antivirus e criar uma rotina de descontaminação em seus micros afim de evitar a dor de cabeça depois. Já atendi um cliente que na época não deu muita importancia e preferiu ficar mais umas 2 semanas com os bichinhos de macro depois deu quase separação do casal ( Advogados ) na época e de um sócio que ficou P da vida por não terem aceito a manutenção nos micros… Perderam tudo inclusive uma petição que valia na época 1 milhão de reais já pronta pra passar ao Juiz que seria ganho de causa e perderam tudo pois não tinham cópia ou rascunho do que haviam digitado, horas e horas de trabalho perdidos por meros trocados na época ofertados afim de fazer a desinfecção… Aprenderam na DOR !!

  2. Kovalski says:

    Saberia me responde se quem abre este tipo de arquivos em sites como o Google Drive estaria livre da infecção ? Já que o teoricamente o arquivo não estaria sendo executado no PC da pessoa.

    • Victor Hugo says:

      Kovalski,
      E execução de um malware, mesmo que realizada no Google Drive, carregaria as instruções maliciosas para a memória RAM e por conseguinte as alterações danosas ao sistema.

      Obrigado pela sua participação!

%d blogueiros gostam disto: