Os invasores cibernéticos estão disparando e-mails com anexos de arquivo .ppam que podem ocultar um malware capaz de reescrever as configurações de registro do Windows nos dispositivos infectados.
Como funciona
Os invasores utilizam um arquivo do PowerPoint para ocultar executáveis maliciosos que reescrevem as configurações de registro do Windows para sequestrar computadores pessoais.
Este ataque representa uma das várias maneiras que hackers têm utilizado para atingir os usuários de desktop por meio de aplicativos confiáveis. Os e-mails enviados evitam as detecções de segurança e parecem legítimos.
Descubertas da pesquisa
Uma pesquisa recente da Avanan, uma empresa da Check Point, destaca como um “complemento pouco conhecido” no PowerPoint – o arquivo .ppam – pode ser usado para ocultar um malware. Jeremy Fuchs, pesquisador e analista da Avanan, observou em um relatório publicado que o arquivo inclui comandos de macros personalizadas, entre outras funções.
A partir de janeiro, os pesquisadores relataram que os invasores enviaram e-mails manipulados que incluem anexos de arquivos .ppam maliciosos.
E-mail como vetor de ataque
Um e-mail utilizado nos ataques simula uma ordem de compra enviada ao destinatário. O arquivo .ppam correspondente foi projetado para parecer legítimo, mas inclui um executável malicioso.
O Payload prosseguiu com uma série de funções na máquina alvo que não foram expressamente permitidas pelo usuário, incluindo a instalação de novos programas que criam e abrem novos processos, alteram atributos de arquivos e chamam funções importadas. O relatório destaca:
Ao combinar a urgência potencial de um e-mail de pedido de compra, juntamente com um arquivo perigoso, esse ataque dá um golpe duplo que pode devastar um usuário final e uma empresa.
A campanha permite que hackers burlem a segurança existente de um dispositivo. Ele faz isso com um arquivo raramente usado e, portanto, não ativa os alertas do scanner de e-mail. Fuchs escreve:
Além disso, mostra os perigos potenciais desse arquivo, pois pode ser usado para encapsular qualquer tipo de arquivo malicioso, incluindo ransomware.
De fato, relatórios de outubro de 2021 mostram que os invasores usaram arquivos .ppam para encapsular o ransomware.
Usuários de desktop como alvo
Esse golpe representa um dos várias ataques baseados em e-mail recentemente descobertas por pesquisadores. Muitas campanhas visam usuários de desktop que operam em aplicativos de colaboração e processamento de texto, como Microsoft Office, Google Docs e Adobe Creative Cloud. Os invasores geralmente usam e-mail para enviar anexos maliciosos ou links que roubam dados do usuário.
Em novembro, pesquisadores relataram que golpistas estavam usando links maliciosos para fazer com que as pessoas compartilhassem um documento do Google. Os links direcionavam os usuários para sites de roubo de credenciais.
Em dezembro, uma onda de ataques de phishing que visavam principalmente usuários do Outlook aproveitou o recurso de "comentários" no Google Docs para distribuir links maliciosos que roubavam as credenciais do usuário.
No mês passado, a Avanan relatou outro golpe sobre contas falsas no pacote Adobe Cloud. Os invasores usaram as ferramentas da Adobe para enviar imagens e PDFs que pareciam legítimos, mas que na verdade entregavam malware aos usuários do Office 365 e do Gmail.
Mitigações e Prevenção
Para evitar que golpes de e-mail atinjam funcionários passados, Jeremy Fuchs recomenda que os administradores tomem as precauções tradicionais de segurança de e-mail. Os administradores devem instalar a proteção de e-mail que baixa arquivos em um sandbox para inspecioná-los em busca de componentes maliciosos. Também é aconselhável tomar medidas extras de segurança, como analisar e-mails dinamicamente em busca de indicadores de comprometimento (IoCs). Isso garante a segurança da filtragem de e-mails através de redes corporativas.
“Este e-mail falhou em uma verificação SPF e havia uma reputação histórica insignificante com o remetente”, escreveu Fuchs sobre a mensagem de phishing que os pesquisadores da Avanan observaram. SPF, Sender Policy Framework, representa uma tática de autenticação de email projetada para impedir que hackers enviem mensagens falsificadas por meio de um nome de domínio alternativo.
Os grupos corporativos também podem incentivar continuamente os funcionários a entrar em contato com o departamento de TI se receberem arquivos desconhecidos por e-mail.
Fonte: CyberTalk
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
