Uma nova tática de infecção de PCs não depende de arquivos executáveis ou nem mesmo macros do pacote Office, basta apenas que o usuário passe o mouse sobre um link para que a cadeia de contaminação comece. O ataque, associado a um grupo cibercriminoso russo, utiliza uma apresentação do PowerPoint e o nome da OCDE (Organização para a Cooperação e Desenvolvimento Econômico) para fazer vítimas de alto escalão.
O arquivo infectado chega como um convite para participar de uma reunião da organização; em anexo, estariam instruções para entrar em uma reunião do Zoom. Quando aberta, a apresentação contém um link que realiza a infecção, bastando que o usuário passe o mouse sobre ele, mesmo que rapidamente e sem perceber, para que um script PowerShell malicioso seja ativado e baixe arquivos maliciosos, que alteram o registro do Windows e estabelecem permanência na máquina.
Todo o golpe acontece de forma furtiva, a partir do download de imagens no formato JPEG, mas que trazem os arquivos maliciosos em seus metadados. O malware servido é o Graphite, que chega a partir de uma conta no OneDrive e abusa de serviços do Windows para se comunicar com um servidor de controle, de onde recebe comandos e para o qual envia informações coletadas no computador.
Empresas com ligações com o governo, bem como a própria administração pública, são o alvo da campanha direcionada de ataques, associada a um bando a serviço da Rússia. O APT28, que também atende pelo nome de Cozy Bear, é conhecido do noticiário de segurança, já tendo realizado operações semelhantes contra instituições oficiais; a nova campanha estaria em andamento desde o final de agosto.
Golpe para PC é sofisticado
Segundo a empresa de inteligência de ameaças Cluster25, entretanto, se trata de um golpe bem-planejado, uma vez que alguns dos domínios usados para o disseminar foram criados entre janeiro e fevereiro deste ano. Menos de 10 ocorrências foram registradas, três em 25 de agosto e outras cinco em 9 de setembro, todas na União Europeia e leste da Europa, novamente indicando um ataque altamente direcionado.
Além disso, os especialistas indicam essa como uma tática nova no portfólio de ameaças do Cozy Bear, ainda que a ideia de contaminações por meio da passagem do mouse não seja efetivamente inédita. Casos assim vêm sendo apontados desde junho de 2017 por pesquisadores em segurança, mas não é comum ver esse tipo de ofensiva acontecendo de forma ampla.
Apesar do método diferenciado, o vetor de comprometimento segue parecido. A principal recomendação de segurança é a de sempre: não clicar em links desconhecidos e somente baixar arquivos de contatos legítimos, ao ter certeza da origem do arquivo. Manter sistemas operacionais e aplicativos atualizados, assim como usar uma boa solução de segurança, também ajuda na proteção.
–
Fonte: https://canaltech.com.br/espionagem/novo-golpe-infecta-pcs-ao-passar-o-mouse-sobre-um-link-226190/