Nova ameaça se utiliza do Word para obter dados do dispositivo

Pesquisadores da Kaspersky Lab identificaram em disseminação na web um novo tipo de ataque via arquivos de texto do Microsoft Word. Inicialmente, softwares antivírus não identificavam a novidade como maliciosa pois ela não trazia nenhum segmento de código conhecido como mal-intencionado. Mas isso acontecia porque o objetivo do documento não era infectar a máquina, mas sim obter informações detalhadas sobre o software dela.

Os criminosos usavam técnicas de phishing sofisticadas para convencer as vítimas a baixar e abrir um arquivo do Word. Assim que isso era feito, o documento, cuidadosamente produzido, ativava a “função secreta” IncludePicture do editor da Microsoft. Combinando isso a uma série de links apontando para um segmento de código PHP, os criminosos eram capazes de coletar informações detalhadas sobre todo o software instalado no dispositivo, incluindo a versão do Microsoft Office, do sistema operacional, de programas de antivírus, e por aí vai. O IncludePicture tornava vulnerável o Windows (mobile e desktop), o Android e o iOS.

Eles poderiam desenvolver um malware ou outro tipo de ataque extremamente personalizado para a vítima

Esses dados eram enviados para os criminosos e, com isso, eles poderiam desenvolver um malware ou outro tipo de ataque extremamente personalizado para a vítima. A ideia era provavelmente aumentar a taxa de sucesso e, com isso, focar em personalidades famosas ou em executivos em altos postos de grandes empresas.

O IncludePicture do Word pode ser considerado “secreto” no Word porque não há nenhuma descrição oficial sobre como ele funciona ou o que exatamente ele é capaz de fazer no software. Também não há relatos do uso dessa ferramenta para nenhuma atividade prática, além da possiblidade de ser explorada por cibercriminosos. Isso foi inclusive uma das razões que dificultou a identificação do problema pelos pesquisadores.

Fonte: Tecmundo

Novo ransomware se esconde em documento do Word

ransomwareUm novo ransomware está tirando o sono de especialistas em segurança e usuários do Windows. Chamado de Locky, o malware está se espalhando por meio de um documento do Microsoft Word. O arquivo malicioso é enviado como se fosse uma fatura comercial e, quando os receptores ordenam a abertura dele, códigos indevidos são rodados no computador atingido.

Assim que é executado, o ransomware ativa uma série de ações. Algumas delas demandam a utilização de macros e outras pequenas aplicações que ativam tarefas mais comuns. Por causa disso, a Microsoft desabilita os macros nas configurações-padrão do Windows, mas ainda assim os malwares conseguem fazer a ativação deles por códigos maliciosos.

De acordo com especialistas do Palo Alto Networks, já foram ativadas mais de 400 mil sessões com o ransomware — mas nem todas resultaram em PCs sequestrados. Assim como acontece com outros arquivos similares, o Locky também bloqueia arquivos e softwares nos computadores infectados, exigindo pagamento de resgate para o desbloqueio.

A Microsoft afirma que o software de segurança da empresa já está preparado para bloquear e remover o Locky nos computadores atingidos. Mesmo assim, é recomendado que as mesmas ações preventivas de sempre continuem sendo tomadas pelos usuários: não abrir documentos de remetentes desconhecidos.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fonte: Tecmundo

Microsoft emite alerta sobre uma nova falha no Word

A Microsoft divulgou ontem um alerta sobre uma nova falha no Word. De acordo com a empresa, a vulnerabilidade CVE-2014-1761 já está sendo explorada em ataques com foco no Word 2010.

Além do Word 2010, a falha também afeta os seguintes produtos:

word_versoes_afetadas

A vulnerabilidade CVE-2014-1761 pode permitir a execução remota de códigos maliciosos no computador caso o usuário abra no Word um documento RTF especialmente criado ou pré-visualize ou abra uma mensagem de e-mail RTF no Microsoft Outlook tendo o Word como visualizador padrão.

Se a falha no Word for explorada com sucesso, o responsável pelo ataque pode obter os mesmos privilégios do usuário logado no momento.

Em seu boletim de segurança, a Microsoft afirma que a falha é causada quando o Word analisa dados formatados em RTF especialmente criados pelo responsável pelo ataque, causando assim a corrupção da memória e permitindo que ele execute códigos maliciosos no computador atacado.

No caso do Outlook, a falha só pode ser explorada se o Word for o visualizador padrão de e-mails. Vale destacar que o Word é o visualizador padrão de e-mails no Outlook 2007, Outlook 2010 e Outlook 2013.

Enquanto uma correção oficial para a falha no Word não é lançada, a Microsoft disponibilizou uma solução temporária na forma de um utilitário Fix it.

COMO UTILIZAR A SOLUÇÃO TEMPORÁRIA PARA A FALHA NO WORD

  • Clique aqui para fazer o download do utilitário Fix it necessário:
  • Depois de baixar o utilitário Fix it, execute-o e siga as instruções na tela:

Microsoft_Fix_it

 A Microsoft não informou quando a correção para a falha no Word será lançada, mas é possível que ela seja disponibilizada junto com as atualizações de segurança do mês de abril.

Agradeço ao Davi e ao Paulo Sollo, colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Baboo

Microsoft lança correção de vulnerabilidade do Word

microsoft-WordA Microsoft lançou esta semana um patch de correção de segurança para o Office depois de descobrir que hackers estavam usando uma falha de segurança em documentos do Word para espalhar seus malwares e infectar PCs.

A fabricante de softwares disse em seu site que lançou esse pequeno patch, chamado de Fix It, como uma medida temporária até conseguir preparar uma atualização que irá proteger os computadores contra a nova ameaça.

A empresa ainda disse que a nova vulnerabilidade foi usada para atacar uma “pequena quantidade” de alvos, principalmente no Oriente Médio e no Sul da Ásia. A Microsoft não identificou as vítimas que receberam e-mail pedindo para abrir os documentos do Word infectados.

A vulnerabilidade afeta usuários do Office 2003, Office 2007 e Office 2010 do Windows XP e Server 2003.

Normalmente, quando as fabricantes de softwares conhecidos emitem um alerta sobre um bug “zero-day”, grupos de hackers se apressam para fazer a engenharia reversa de um patch, como o Fix It, para que eles possam construir vírus de computadores que também exploram as mesmas vulnerabilidades.

Stuart McClure, executivo da empresa de segurança Cylance Inc., disse que as empresas que usam as versões vulneráveis do Office devem instalar o Fix It para prevenir ataques futuros. “Eu, com certeza, acho que isso é algo que precisa ser reparado”, disse.

Patches como o Fix It são pequenas correções para remediar falhas de segurança que devem ser baixados manualmente e instalados nos PCs. Eles são projetados para proteger os consumidores, enquanto, no caso, a Microsoft prepara uma atualização oficial futura, fornecida automaticamente através da Internet para ser instalada nos computadores.

O novo Fix It está disponível através deste link:

https://support.microsoft.com/kb/2896666

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a esta notícia.

Fonte: Canaltech

Novo malware se propaga através de documentos do Word

Os cibercriminosos brasileiros estão se preparando cada vez mais para realizar seus ataques. Os trojans que antes vinham em arquivos .exe ou em arquivos zipados, agora podem vir contidos dentro de um arquivo de texto do Word.

A empresa de antivírus Kaspersky Lab detectou um novo tipo de malware dentro de um arquivo do Office, mais especificamente um arquivo RTF que chega anexo a uma mensagem de e-mail. Através da distribuição de um arquivo RTF malicioso, os criminosos esperam infectar a vítima que abrir o arquivo, usando como vetor de instalação de trojans bancários. O e-mail chega com o título “Comprovante Internet Banking”.

O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

Se o usuário abrir o arquivo, verá uma tela como essa abaixo, pedindo que ele clique duas vezes na imagem para abrir.

image1Ao abrir, ele será perguntado se deseja executar um arquivo .CPL. Basta executar o arquivo para a infecção começar.
O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.

image2O arquivo CPL está inserido dentro do arquivo RTF. Mesmo tendo a extensão CPL (Control Panel Library), trata-se de um arquivo executável, pois os editores de textos (como Word e WordPad) permitem a inserção de objetos no documento, que podem ser executáveis.

image4O arquivo CPL em questão é um trojan bancário da família Trojan.Win32.ChePro. Depois de executado, ele irá baixar diversos outros arquivos para o sistema da vítima e instalar a infecção. O uso dessa técnica permite aos cibercriminosos burlar os filtros de e-mail por extensões de arquivos, visto que raramente arquivos DOC e RTF são bloqueados.
A empresa ainda alerta que esse tipo de técnica passará a ser usada com mais frequência entre os cibercriminosos brasileiros – por isso é sempre bom manter seu antivírus atualizado e prestar atenção nos arquivos anexos baixados pelos e-mails.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro, pela referência a essa notícia.

Fonte: Canaltech