Grupo utiliza perfis já comprometidos para distribuir anexos maliciosos. As mensagens são enviadas para os contactos dessas contas, aumentando a probabilidade de os destinatários abrirem os ficheiros.
Os cibercriminosos tentaram disfarçar o malware para que parecesse um programa seguro e oficial do computador Thomas White / REUTERS
Uma campanha de cibercrime distribuiu ficheiros maliciosos através de mensagens directas na aplicação de computador e versão web do WhatsApp, alertou nesta terça-feira, 30 de Junho, a empresa de segurança informática russa Kaspersky.
De acordo com a investigação da empresa, o grupo responsável utiliza perfis já comprometidos para distribuir anexos maliciosos. As mensagens são enviadas para os contactos dessas contas, aumentando a probabilidade de os destinatários abrirem os ficheiros.
Uma vez instalado, o malware permite aos criminosos aceder remotamente ao sistema infectado através de funcionalidades administrativas padrão, concebidas para utilização legítima em suporte e gestão de sistemas informáticos.
“Os nomes dos ficheiros são cuidadosamente disfarçados como documentos empresariais rotineiros, como facturas e avisos de pagamento, e adaptados a vários idiomas para apoiar uma estratégia de disseminação alargada”, observa Fareed Radzi, investigador de segurança da Kaspersky, citado em comunicado.
A utilização de múltiplas línguas nos nomes dos ficheiros sugere um alargado alcance regional, especialmente na Europa. Português, inglês, francês e alemão foram os idiomas mais utilizados nos ataques.
Os cibercriminosos tentaram disfarçar o malware de forma a parecer um programa seguro e oficial do computador. As amostras de Visual Basic Script (VBS) — uma linguagem de programação desenvolvida pela Microsoft — incluem comentários extensos e metadados concebidos para imitar componentes legítimos do Microsoft Windows Update.
A cadeia de infecção
“Depois de abertos, [os ficheiros] desencadeiam uma cadeia de infecção em várias fases que descarrega e executa silenciosamente componentes maliciosos adicionais a partir de infra-estruturas externas”, acrescenta o investigador da Kaspersky.
O script inicial cria uma pasta de trabalho em C:\Users\Public\Documents e, a partir daí, descarrega novos códigos de servidores externos, que depois são executados através do Windows Script Host. Esses códigos realizam acções adicionais no sistema e descarregam ainda um arquivo comprimido a partir da mesma infra-estrutura, que contém então um pacote de instalação de software de monitorização e gestão remota.
Foram identificadas vítimas em vários países e territórios, incluindo Malásia, Brasil, Singapura, Taiwan e Vietname, sendo a Malásia o país com o maior número de casos observados.
A Kaspersky aconselha os utilizadores a desconfiarem de anexos inesperados no WhatsApp, mesmo quando pareçam ter sido enviados por contactos conhecidos. Recomenda ainda não abrir ficheiros executáveis ou de script — como .vbs, .vbe, .exe, .bat, .cmd, .js e .ps1 — sem confirmar a sua origem e manter um sistema de segurança actualizado em todos os dispositivos.
Cibercriminosos sequestram contas de WhatsApp para espalhar malware | Cibersegurança | PÚBLICO
Comentários
Enviar um comentário