Golpe mira executivos com documentos falsos
Uma campanha de spear phishing descoberta pela Blackpoint Cyber tem como alvo executivos e funcionários de alto escalão. Os criminosos exploram a confiança dos usuários em documentos sensíveis para invadir sistemas corporativos.
Isso inclui documentos certificados falsos, scans de passaportes e arquivos de pagamento. A estratégia aproveita a rotina de trabalho executiva para parecer legítima.
Além disso, os ataques utilizam arquivos ZIP que imitam processos comuns do ambiente corporativo. Esses arquivos incluem verificações de identidade e aprovações de pagamento para aumentar a credibilidade.
Aparentam ser compactações normais, dificultando a identificação pelos usuários. Dessa forma, a campanha representa uma ameaça significativa à segurança digital.
Como funciona a infecção por malware
Entrega por arquivos ZIP e atalhos
O malware é entregue por meio de um arquivo ZIP que contém atalhos do Windows. Quando clicados, esses atalhos executam um comando PowerShell no sistema.
O PowerShell, por sua vez, baixa arquivos maliciosos do site hp05.com/gwt/. Esse método permite que os criminosos contornem medidas de segurança básicas.
Disfarce como apresentação
O arquivo baixado é renomeado para se parecer com uma apresentação de PowerPoint. No entanto, trata-se na verdade de um arquivo DLL que aproveita o rundll32.exe do Windows.
Essa técnica mascara o código malicioso como um arquivo comum de apresentação. Assim, os usuários podem ser enganados mais facilmente.
Verificação de programas de segurança
Monitoramento de antivírus
O malware verifica se o computador possui programas de segurança instalados antes de agir. Entre os programas monitorados estão:
- AVG
- Avast
- Bitdefender
- Kaspersky
Essa verificação é feita buscando por processos como avgui ou bdagent no sistema.
Ações adaptativas
Caso exista um antivírus detectado, o malware executa o programa BD3V.ppt. Se não houver proteção identificada, é rodado o programa NORMVM.ppt.
Essa adaptação permite que o ataque seja mais eficaz conforme o ambiente. Portanto, a sofisticação do golpe chama a atenção dos especialistas.
Técnicas conhecidas ainda em uso
Exploração da confiança
O uso de atalhos do Windows não é novidade em campanhas de phishing. No entanto, a combinação com documentos sensíveis falsos aumenta o risco.
A Blackpoint Cyber destacou que a exploração da confiança é um elemento central. Isso mostra que os criminosos continuam refinando suas abordagens.
Dificuldade de detecção
Além disso, a entrega por arquivos ZIP que imitam rotinas de trabalho torna a detecção mais difícil. A fonte não detalhou quantas empresas foram afetadas pela campanha.
Mesmo assim, a descoberta serve como alerta para organizações em todo o país. A prevenção requer atenção redobrada ao abrir anexos suspeitos.