Todos os dias, milhões de mensagens de spam são enviadas e, embora a maioria seja propaganda inofensiva, eventualmente um arquivo malicioso está escondido em uma das mensagens.
Para que o destinatário clique e abra o arquivo que faz o download do malware, os cibercriminosos fazem uma maquiagem para torná-lo interessante, útil ou importante: um documento de trabalho, uma boa oferta, um cartão-presente com o logotipo de uma empresa conhecida etc.
Os golpistas têm seus formatos preferidos e nesta publicação discutiremos os tipos de arquivos mais usados este ano para esconder malwares.
1. Arquivos ZIP e RAR
Os cibercriminosos adoram esconder malwares em arquivos. Por exemplo, usavam arquivos ZIP com o nome Love_You0891 (os números podem variar) para distribuir o ransomware GandCrab no Dia dos Namorados. Algumas semanas depois, um grupo de golpistas enviou arquivos com o Trojan Qbot, especializado em roubo de dados.
Este ano, também testemunhamos a descoberta de um recurso muito interessante no WinRAR. Aparentemente, durante a criação de um arquivo, você pode definir uma série de comandos para que o conteúdo seja descompactado na pasta do sistema. Ou seja, os arquivos poderiam ir para a pasta de inicialização, e seriam executados na próxima reinicialização. Por isso, recomendamos que todos os usuários do WinRAR atualizem o programa imediatamente par evitar malwares.
2. Documentos do Microsoft Office
Os arquivos do Microsoft Office, todos os documentos do Word (DOC, DOCX), planilhas do Excel (XLS, XLSX, XLSM), apresentações e modelos também são muito populares entre os cibercriminosos. Esses arquivos podem conter macros integradas -pequenos programas que são executados dentro do arquivo, que cibercriminosos usam como scripts para baixar malware.
Normalmente, esses arquivos são destinados a funcionários de empresas que trabalham em escritórios. Eles são enviados disfarçados de contratos, faturas, notificações fiscais e mensagens da equipe de gerenciamento. Por exemplo, um Trojan bancário, conhecido como Ursnif infectou muitos dispositivos de usuários italianos por imitar uma notificação de pagamento. Se a vítima abriu o arquivo e aceitou ativar a macro (desativada por padrão devido a motivos de segurança), o Trojan foi baixado para o computador.
3. Arquivos PDF
Muitos usuários conhecem os perigos das macros em documentos do Microsoft Office, mas geralmente não o das armadilhas ocultas em arquivos PDF. De fato, esse formato pode ser usado para criar e executar arquivos JavaScript.
Além disso, os cibercriminosos gostam de esconder links maliciosos em PDF. Por exemplo, em uma campanha de spam, os golpistas incentivavam os usuários a visitar uma página “segura” na qual precisavam fazer login na conta da American Express. Evidentemente, as credenciais das vítimas foram diretamente para os golpistas.
4. Imagens de disco IMG e ISO
Em comparação com os formatos anteriores, os arquivos IMG e ISO não são usados com muita frequência para ataques com malwares, embora os cibercriminosos tenham recentemente dedicado atenção a eles. Esses arquivos (imagens de disco) são basicamente uma cópia virtual de um CD, DVD ou outro tipo de disco.
Os golpistas usaram uma imagem de disco para enviar malware. É o caso do Trojan Agent Tesla, que roubou credenciais. Dentro da imagem havia um arquivo executável malicioso que, uma vez executado, ativava e instalava o spyware no dispositivo. Em alguns casos, os cibercriminosos usaram dois anexos (um ISO e um DOC) para assegurar a infecção.
Como gerenciar anexos potencialmente perigosos
Você não precisa enviar todas as mensagens com anexos ou documentos DOCX / PDF para a pasta de spam com intuito de proteger sua equipe de malware e evitar golpes. Em vez disso, lembre-se dessas regras simples:
Fonte: Kaspersky