Golpe do “documento sigiloso”: hackers usam passaportes falsos para invadir PCs

Uma campanha de spear phishing foi descoberta pela Blackpoint Cyber, que mira em executivos e funcionários de alto escalão, explorando a confiança dos usuários em documentos sensíveis. Os hackers usam documentos certificados falsos, scans de passaportes e arquivos de pagamento para fazer com que os anexos sejam abertos sem desconfiança.

Em um dos casos estudados, o malware foi entregue por um arquivo ZIP, que imita a rotina de trabalho executiva e inclui até mesmo verificação de identidade e aprovação de pagamento. O arquivo parece uma compactação normal, mas importante, levando à confiança de que é legítimo.

Dentro do arquivo ZIP, ao invés de documentos reais, há atalhos do Windows (.lnk) que, quando clicados, rodam um PowerShell que baixa arquivos maliciosos do site hp05.com/gwt/ instantaneamente. O arquivo é renomeado para parecer uma apresentação de PowerPoint, evitando suspeitas.

• Os atalhos do Windows são usados para rodar um PowerShell que baixa arquivos maliciosos.
• O arquivo é renomeado para parecer uma apresentação de PowerPoint, evitando suspeitas.
• O malware aproveita o rundll32.exe do Windows para se camuflar no sistema.

Esse tipo de ataque é conhecido como living off the land, que permite contornar ferramentas de segurança. Na última etapa, é estabelecida conexão com o endereço faw3.com, em posse dos hackers, que age como centro de comando e controle (C2). Assim, é concedido acesso remoto ao computador, visualização dos arquivos e entrega de outros programas maliciosos.

Para se proteger, é importante não abrir atalhos sem verificar antes do que se trata, se veio de um remetente confiável e se há uma alternativa para obter o arquivo. Além disso, é fundamental ter um antivírus atualizado e configurado para detectar e bloquear arquivos maliciosos.

Este conteúdo pode conter links de compra.

Fonte: link