O vírus de macro voltou

Paulo Brito
15/01/2016
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Engenharia social eleva os níveis do macro malware ao maior nível em seis anos

 

*Vincent Weafer

 

"Aviso: este documento contém macros". Uma mensagem conhecida na década de 90 voltou, pois os cibercriminosos encontraram novas maneiras de induzir as pessoas a abrirem documentos que contêm macro malwares. Esta ameaça atualizada é dirigida aos usuários de empresas de grande porte que utilizam macros com frequência. E-mails cuidadosamente trabalhados, com engenharia social, induzem os usuários a abrirem documentos aparentemente legítimos e, depois, ativar o macro. Segundo o mais recente Relatório do McAfee Labs sobre Ameaças, os incidentes com macros mal-intencionadas quadruplicaram no último ano.

Os alvos mais frequentes do macro malware são documentos do Microsoft Office, especialmente os arquivos do Word. O Word permite que os macros sejam executadas automaticamente, por exemplo, quando um usuário abre um documento, o fecha ou cria um novo documento. Esses comandos são normalmente utilizados por macros legítimos e mal-intencionados.

 

O caminho para uma infecção de sistemas de ampla escala, através de macro malware, geralmente começa com um anexo de e-mail feito para parecer legítimo, muitas vezes socialmente projetado de acordo com o usuário-alvo. Entre os assuntos mais comuns estão frases como solicitação de pagamento, notificação de correio, currículo, nota fiscal de venda e confirmação de doação. O texto do e-mail corresponde ao assunto, com informações suficientes para fazer com que o anexo seja aberto, inclusive assinaturas e logotipos com aparências oficiais.

 

Depois que ele for aberto, os recursos de segurança do Microsoft Office avisam o usuário que o arquivo contém macros e perguntam se ele quer ativá-las. Alguns desses arquivos têm textos extensos, afirmando que são protegidos e que devem ser ativados para que eles sejam lidos. Se o usuário clicar em "Ativar", o código malicioso é executado, instalando um programa para baixar no sistema o malware que trará a carga real, e depois, na maioria das vezes exclui a si mesmo. O código malicioso também pode ser incorporado ao documento como um Objeto Ativo, que também gera avisos quando clicado, mas é possível que muitos usuários não estejam familiarizados com o potencial de ameaça desses arquivos.

 

Uma das maiores mudanças nos macro malwares, desde a última grande infestação, é a sua atual capacidade de se esconder, dificultando muito a sua detecção. Os criadores de macro malwares adotaram diversas técnicas de outros tipos de malware, entre elas, a inclusão de código de "lixo" e escrevendo strings criptografadas complexas. O código de "lixo" é apenas isso, um código que não é para ser executado, mas pode ser facilmente gerado e alterado frequentemente para derrotar os algoritmos de detecção de assinaturas e confundir os pesquisadores de ameaças. Mais complicado é a utilização de várias funções simples, tais como conversão de caracteres, para ocultar a URL mal-intencionada de gateways de e-mail e de varreduras de palavras-chave de malware.

 

A simplicidade e facilidade de codificação dos macros as torna acessíveis a uma ampla gama de criminosos com pouco conhecimento tecnológico. Por isso, o possível alcance e a possível eficácia dos macro malwares significam que as empresas devem reeducar os usuários sobre essa ameaça. Além disso, o sistema operacional e os aplicativos devem ser mantidos atualizados, e as configurações de segurança de macros de todos os produtos do Microsoft Office devem ser definidas como Alta. Os aplicativos de e-mail não devem abrir automaticamente os anexos. Os gateways de e-mail e scanners de vírus também devem ser configurados para procurar e filtrar anexos de e-mail que contenham macros.

 

 

*Vincent Weafer é vice-presidente do Intel Security Group

 

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest