em Symantec

Dentro da onda de ataques de “sequestro de informações”, um novo ransomware está circulando pela internet, conhecido como PowerWare que faz uso das famosas macros do Office para a infecção de seus alvos.

Com o intuito de ser o mais discreto possível, essas ameaças fazem uso do PowerShell, conhecida ferramenta da Microsoft, para baixar e executar scripts que fazem a criptografia dos dados do computador, tentando parecer como um processo legítimo para as ferramentas de antivírus.

A estratégia é usar engenharia social para levar o usuário a habilitar a execução de macros na ferramenta do Office, que é bloqueada por padrão. E-mails de phishing levam os usuários a crerem que precisam habilitar a funcionalidade para ver o conteúdo “importante”. Ao ser executada, a macro inicia o Prompt de Comando (cmd.exe), que então irá iniciar duas instâncias do PowerShell (powershell.exe), que faz o download do script para que a outra instância o execute.
Na próxima fase, o script então se comporta como a maioria dos ransomwares, gera uma chave privada, criptografa os dados da máquina e envia essa chave para os criminosos, usando um servidor centro-de-comando localizado em algum lugar da rede Tor, apresentando então a conhecida mensagem solicitando o pagamento do “resgate” das informações.

É importante lembrar que por mais que você pague (o que é fortemente desencorajado), não existe garantia que seu dados serão recuperados, portanto a prevenção é o melhor remédio.

A grande mudança nessa variante é o fato de não ser um arquivo propriamente dito que é baixado, e sim uma lista de comandos PowerShell, dando a impressão aos softwares de antivírus que o que está ocorrendo se trata de uma atividade lícita.

Fonte: http://www.pcworld.com/article/3048476/new-ransomware-abuses-windows-powershell-word-document-macros.html

Posts recomendados
0

Digite e Pressione Enter para Pesquisar

X