Microsoft Office 365 os usuários são as mais recentes vítimas de ataques maciços de phishing, projetados para chantageá-los e abrir arquivos de malware. Os arquivos maliciosos estão hospedados em arquivos SLK, que também incluem um novo mecanismo de infecção.
Nova técnica de intrusão usada para enganar o Microsoft Office 365 Usuários para abrir arquivos SLK
Os criminosos de computador estão constantemente procurando novos métodos para infectar usuários mal-intencionados em potencial. Nesse caso em particular, os criminosos se concentraram em usuários do Microsoft Office 265 Comercial. Por esse motivo, o grupo de hackers desenvolveu uma nova estratégia de infecção descrita como uma nova abordagem para contornar a segurança padrão do aplicativo.. A estratégia idealizada pelos atacantes é ignorar o Microsoft Office 365 opções, incluindo as disposições de segurança avançadas.
A estratégia de infecção envolve a distribuição de uso de Arquivos SLK anexados em phishing e-mails direcionado aos usuários. Os hackers podem tentar usar várias estratégias:
- Phishing mensagens de email — Os hackers irão passar por empresas e serviços conhecidos pelas vítimas. Essas mensagens conterão gráficos e conteúdo roubados ou falsificados que se parecerão com os sites reais. Ao abri-los, os arquivos podem ser vinculados ou anexados.
- Mensagens de SPAM — As mensagens enviadas em massa podem ser usadas como portadoras da infecção. Neste caso, cenários genéricos podem ser programados para transportar as ameaças.
- Arquivos da operadora de malware — A infecção pode fazer parte dos arquivos da operadora que instalarão a ameaça assim que forem executados. Exemplos são documentos infectados com macro (de todos os formatos populares) e instaladores pacote aplicação — os hackers irão inserir o código relevante nos arquivos de configuração do software que é frequentemente instalado pelos usuários finais.
Os ataques começam com a execução do anexo Arquivos SLK. Eles contêm um script de macro malicioso que iniciará o relevante mecanismo de entrega responsável por baixar o código do malware. Isso irá implantar um Trojan de acesso remoto que permitirá que os hackers assumam o controle das máquinas infectadas. Isso é feito instalando um cliente local no sistema que estabelecerá uma conexão com um servidor controlado por hacker operado pelo grupo criminoso.
O arquivo SLK real é um formato baseado em texto que é usado em software de planilhas (como o Microsoft Excel) que não é freqüentemente usado. No entanto, ainda é usado em alguns casos e pode ser aberto pela maioria das versões modernas do programa. Nesse caso muitas organizações não foram afetadas — é muito possível que isso seja feito em uma campanha direcionada.
Para este ataque específico, a campanha foi dirigida de Hotmail caixas de entrada hospedadas. Eles são os remetentes dos e-mails de malware e incluem arquivos perigosos, incluindo macros. Os hackers usarão vários personagens, incluindo ^ para contornar os filtros de segurança de e-mail — isso vai evitar certas verificações de antivírus. O URL real também será dividido em duas partes, o que impedirá o sistema de segurança de lê-lo como um link da web.
Vendo como esses ataques continuam sendo enviados contra empresas e serviços, é muito possível que os hackers continuem com as tentativas de invasão no futuro..
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: