Os hackers usam documentos envenenados para fornecer cargas úteis de malware há anos. Recentemente, porém, pesquisadores da empresa de segurança Cofense descobriram uma nova reviravolta na estratégia, voltada diretamente para os departamentos de RH. A campanha recentemente detectada usa anexos de currículo falsos para fornecer a Ferramenta de Administração Remota Quasar. É carinhosamente conhecido como RAT para qualquer usuário desavisado do Windows que pode ser induzido a pular algumas etapas.

Veja como funciona:

Um e-mail contendo um documento que parece ser um currículo é enviado a alguém de uma determinada empresa. O documento é protegido por senha, mas a senha é educadamente incluída no corpo do e-mail e geralmente é algo simples como '123'. Se o usuário digitar a senha, uma caixa pop-up aparecerá, perguntando ao usuário se ele deseja ativar as macros.

Até o momento, o ataque é bastante padrão, mas é aqui que fica interessante:

Se as macros puderem ser executadas, elas exibirão uma série de imagens e uma mensagem anunciando que o conteúdo está sendo carregado. Na verdade, o que está fazendo é lançar código de lixo projetado para travar ferramentas de análise e detecção enquanto o RAT é instalado silenciosamente em segundo plano.

Nesse ponto, o sistema está comprometido. Os recursos do RAT oferecem aos hackers a capacidade de abrir conexões de área de trabalho remota, registrar pressionamentos de teclas e roubar senhas, gravar qualquer webcam em uso, baixar arquivos e capturar capturas de tela da máquina infectada.

O pior de tudo é que a primeira parte do processo de infecção derruba a maioria dos programas de detecção. Portanto, os hackers geralmente têm uma grande janela de tempo para aproveitar o recém-criado cabeçote de praia. Isso pode causar todo tipo de confusão em sua rede ou simplesmente transferir dados proprietários de seus sistemas silenciosamente.

Esteja alerta e verifique se sua equipe de RH está ciente. Esta é uma campanha desagradável e está ganhando ritmo.

Used with permission from Article Aggregator