Os especialistas em segurança de computadores alertam para um ataque perigoso e contínuo contra usuários do macOS usando uma falha descrita no aviso CVE-2019-1457. Grupos de hackers estão abusando dessa falha para planejar e executar infecções complexas. Isso é visto como uma das mais perigosas cadeias de exploração baseadas em documentos dos últimos tempos.
Usuários do macOS atacados por explorações complexas do CVE-2019-1457 usando documentos infectados por macro
Ataques de documentos baseados em macro são um dos mecanismos populares amplamente usados por criminosos de computador no Windows. Mesmo que a maioria deles use uma abordagem relativamente simples, incorporando uma carga útil baixada diretamente nas macros dos arquivos fraudulentos, agora existe um método muito mais complexo que foi detectado.
O comunicado CVE-2019-1457 mostra como a abordagem de ataque popular é realizada na maioria dos casos. Este é um erro encontrado nas versões do Microsoft Office, conhecido como o Ignorar recurso de segurança do Microsoft Office Excel — inserindo-o nos arquivos de destino. Confirma-se que funciona com a versão 2016 e 2019 no macOS. Os hackers criarão os dados do usuário alvo e inserirão as macros maliciosas. Geralmente eles serão programados para incluir algum tipo de transportadora de carga útil para um determinado malware.
Usando táticas e macros avançadas de hackers criadas dessa maneira sofisticada, os analistas descobriram que é possível abusar do perfil de sandbox do aplicativo do Office que substitui a segurança do programa. Como resultado, os criadores de malware podem criar um arquivo em qualquer lugar do sistema de arquivos de destino. Como resultado, os documentos infectados por macro criados desta forma podem ser usados para lançar malware complexo baseado em local com as etapas necessárias que ignoram a segurança do sistema operacional. Como resultado, as seguintes ações podem ser executadas ao instalar qualquer tipo de carga útil de malware:
- Ignorar recursos de segurança — Os comandos que podem ser inseridos no código hospedado podem ser usados para contornar os aplicativos e serviços de segurança que podem fazer parte do sistema operacional. Isso inclui clientes antivírus, firewalls, Os sistemas de detecção de intrusões e hospedeiros de máquinas virtuais.
- Alterações de configuração do sistema — O código do vírus pode reprogramar o sistema, o que pode levar a Modificações nos valores do Registro do Windows ou mudanças na configuração de inicialização do sistema. Os usuários enfrentarão problemas de desempenho ao executar determinadas funções, perda de dados ou até a remoção de arquivos sensíveis do usuário. Em muitos casos, a carga útil transportada pode ser configurada para iniciar automaticamente quando o computador é ligado. Também pode negar acesso a determinadas opções de recuperação.
- Alterações de arquivos — Em muitos casos, através desses documentos, os hackers podem programar o programa do escritório subjacente para criar novos arquivos ou editar o conteúdo dos existentes..
Usando esta abordagem, muitos dos vírus em todas as categorias populares podem ser entregues. Especialmente perigosos são os Infecções por cavalos de Tróia que são usados para assumir o controle dos hosts. Mais e mais macOS ransomware também estão sendo empurrados usando este método. Esses são vírus de criptografia de arquivos projetados para processar arquivos do usuário e, em seguida, extorquir as vítimas por um pagamento em criptomoeda.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: