Microsoft alerta: novas macros ameaçam usuários

Pesquisadores do Malware Protection Center, da Microsoft estão alertando para uma nova atacantes técnica está usando para permitir que o malware macro iludir soluções de detecção.

 

Os peritos viram pela primeira vez a técnica ao analisar um arquivo contendo scripts do projeto VBA com uma amostra do TrojanDownloader bem conhecido: O97M/Donoff .

 

"Recentemente, deparei com um arquivo que contém um projecto VBA com scripts de uma macro maliciosa.", diz um  post no blog  da Microsoft. "No entanto, não havia uma identificação imediata, óbvio que este arquivo foi realmente malicioso. É um arquivo do Word que contém sete módulos VBA e um formulário de usuário VBA com alguns botões (usando os elementos CommandButton)."

 

Os módulos de VBA pareceram inofensivos, e os peritos não encontraram evidências de código malicioso, exceto por uma  estranha "string" no "Caption" do CommandButton3, no formulário utilizado.

 

 

 

"No entanto, depois de mais investigação, notamos uma seqüência estranha no campo CAPTION do CommandButton3. Parecia ser algum tipo de string encriptada.", continua o post. 

 

"Voltamos e revimos os outros módulos no arquivo, e com certeza - há algo incomum acontecendo em Module2. A macro lá utilizada (UsariosConectados) descodifica a cadeia no campo legenda para CommandButton3, o que acaba por ser uma URL. Ela usa a macro 'deaultautoopen()' para executar todo o projeto do VBA quando o documento for aberto ".

 

Os atores maliciosos esconderam comandos no nome de um botão de macro. Quando a macro é executada, ele decifra a "string", afim de recuperar a URL a partir da qual o download de uma carga maliciosa é feito.

 

"A macro irá se conectar à URL (hxxp: //clickcomunicacion.es/<uniqueid>) para transferir uma carga útil que detectamos como  Ransom:Win32/Locky  (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4)."

 

Esta é a primeira vez que os atacantes usam essa técnica!

 

Exatamente um ano atrás, os especialistas da Microsoft lançaram  um alerta sobre os ataques macro depois de observar um grande aumento no volume de malware usando macros desde o início do ano. A Microsoft sugere a leitura do "Relatório de Inteligência de Ameaças em Macros"   para obter mais informações sobre a prevenção e recuperação de ataques de macro.

 

Please reload

Destaques
Please reload

Posts Recentes

December 12, 2016

Please reload

Arquivo
Please reload

Busca por Tags