• Arquivos Macro-Enabled Utilizados como Vetores de Infecção

    Os ataques macro-enabled eram bastante populares no início dos anos 2000, mas ganharam muita notoriedade com a cobertura bastante divulgada do vírus "Melissa". No entanto, ataques macro-enabled logo entraram em um processo de drop off em relação ao radar. Uma das principais razões para isso seriam as medidas de segurança implementadas pela Microsoft, para tratar arquivos de macro maliciosos. Outra razão provável, seria também que os cybercriminosos simplesmente, deram sequência às suas atividades, explorando o que havia de mais recente e mais popular.


    Mas parece que os ataques macro-enabled estão trilhando seu caminho para o cenário de ameaças mais uma vez. Isso está presente nos ataques que usam arquivos macro-enabled, para entregar ameaças aos usuários recém-encontrado.


    Arquivos Macro-enabled Carry ZBOT

    TSPY_ZBOT.DOCM chega através de um anexo de e-mail, o que é detectado como W97M_SHELLHIDE.A. Este e-mail está disfarçado como uma notificação de uma sociedade de lei sobre "possíveis atividades fraudulentas" envolvendo o destinatário. Se as pessoas abrirem o documento, que contém a seguinte mensagem: "Esta amostra [redigido] requer macros, a fim de ser visualizada. Por favor habilite macros para ser capaz de ter acesso a este exemplo. "Além deste conjunto de instruções, o documento parece estar em branco. A análise mostra que o documento em branco na verdade, contém o malware embutido e escondido na white font. O malware é escrito pela primeira vez, em forma ASCII-hex.

    Ativando o recurso de macro, é possível executar o script que derruba o malware. O script macro converte a forma ASCII-hex ao seu binário tradicional. O malware pode ser executado no sistema infectado, permitindo o roubo de informações do computador do usuário.


    Saiba Mais:

    [1] Security Intelligence http://blog.trendmicro.com/trendlabs...carrying-zbot/

    Sobre o Autor: Camilla Lemke


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L