2024/06/19

Campanha de malware usa erros falsos para enganar utilizadores

Uma nova campanha de malware está a usar mensagens de erro falsas no Google Chrome, Word e OneDrive para enganar os utilizadores e levá-los a executar "correcções" maliciosas em PowerShell, instalando malware nos seus sistemas.

Investigadores da ProofPoint observaram múltiplas campanhas a usar estas tácticas. O grupo TA571 é conhecido por enviar grandes volumes de emails de spam que resultam em infecções por malware e ransomware. Anteriormente, os ataques ClearFake utilizavam avisos falsos de atualização do navegador para distribuir malware. Nesta campanha mais recente, os atacantes usam JavaScript em anexos HTML e sites comprometidos para exibir mensagens de erro falsas. Estes erros tentam levar os utilizadores a copiar uma "correcção" em PowerShell para a área de transferência e executá-la numa caixa de diálogo ou no PowerShell, fazendo parecer uma solução legítima para um problema.

A ProofPoint alerta que, embora este ataque exija uma interacção significativa do utilizador, a engenharia social é suficientemente inteligente para levar os utilizadores a agir sem considerar os riscos. As cargas maliciosas incluem diversos malwares, como o DarkGate, Matanbuchus, NetSupport, Amadey Loader, XMRig, e Lumma Stealer. Os investigadores observaram três métodos de ataque principais:
Na primeira, os utilizadores visitam um site comprometido que carrega um script malicioso através dos contratos Smart Chain da Binance. Este script exibe um aviso falso do Google Chrome e pede aos utilizadores para instalar um "root certificate" copiando um script PowerShell. Uma vez executado, o script confirma que o dispositivo é um alvo válido e descarrega cargas maliciosas adicionais.

A segunda sequência de ataque, associada à ClickFix, utiliza sites comprometidos para criar um iframe que exibe um erro falso do Google Chrome. Os utilizadores são novamente aconselhados a executar um script PowerShell, resultando em infecções.

A terceira cadeia de ataque envolve infecções baseadas em emails com anexos HTML que se assemelham a documentos do Microsoft Word. Os utilizadores são direccionados para instalar uma extensão "Word Online" para visualizar o documento, que depois os tenta convencer a executar um comando PowerShell.

Em todos os casos, os atacantes exploram a falta de conhecimento dos utilizadores sobre os riscos de executar comandos PowerShell e a incapacidade do Windows de detectar estas acções maliciosas. Esta campanha mostra que o TA571 está a experimentar diferentes métodos para aumentar as suas taxas de sucesso e infectar mais sistemas.

Sem comentários:

Enviar um comentário (problemas a comentar?)