A Microsoft está alertando para uma nova e importante campanha de phishing com o tema covid-19. Os criminosos cibernéticos usam macros maliciosas do Excel para obter acesso remoto às máquinas das vítimas por meio de uma ferramenta de suporte legítima.
O Microsoft Security Intelligence revelou a ameaça por meio de uma série de tuítes, alegando que a campanha começou em 12 de maio. “Os e-mails são enviados em nome do Johns Hopkins Center como ‘Relatório de situação da covid-19 da OMS’. Os arquivos do Excel abrem com aviso de segurança e mostram um gráfico de supostos casos de coronavírus nos EUA. Se for permitido a execução, a macro maliciosa do Excel 4.0 baixa e executa o NetSupport Manager RAT”, explica a empresa.
Veja isso
Campanha de phishing falsifica mensagens do Microsoft Teams
Microsoft lança patches de seguranca para corrigir mais de 100-bugs
A equipe do Microsoft Security Intelligence diz que há vários meses observou um aumento constante no uso de macros maliciosas do Excel 4.0 em campanhas de malware. “Em abril, essas campanhas do Excel 4.0 entraram na onda e começaram a usar iscas temáticas covid-19”, disseram os pesquisadores.
A campanha, é semelhante a muitas outras lançadas nas últimas semanas e meses, com os cibercriminosos renomeando efetivamente o conteúdo existente com os temas da covid-19 para aumentar a taxa de sucesso. O Google, por exemplo, disse que está bloqueando mais de 240 milhões de mensagens de spam com temas sobre a covid todos os dias e 18 milhões de e-mails de malware e phishing.
“As centenas de arquivos exclusivos do Excel nesta campanha usam fórmulas altamente ofuscadas, mas todos se conectam à mesma URL para baixar a carga útil. O NetSupport Manager é conhecido por ser usado por invasores para obter acesso remoto e executar comandos em máquinas comprometidas”, afirmou a Microsoft sobre a mais recente campanha de RAT (ferramentas sigilosas de acesso remoto).
O NetSupport RAT usado nessa campanha, segundo a fabricante de software, elimina ainda mais componentes, incluindo vários arquivos .dll, .ini e outros .exe, um VBScript e um script ofuscado do PowerShell baseado no PowerSploit. Ele se conecta a um servidor de comando e controle (C&C), permitindo que os atacantes enviem mais comandos.
