Início Tecnologia Atenção! Este falso BSOD do Home windows é uma armadilha

Atenção! Este falso BSOD do Home windows é uma armadilha

Por
Miguel Almeida
-
22
0

Securonix

Siga ZDNET: Adicione-nos como fonte preferencial no Google.

Principais conclusões da ZDNET

  • Uma nova campanha cria um BSOD falso para instalar malware.
  • A campanha engana os usuários para que instalem um trojan de acesso remoto.
  • Se executado, o RAT pode acessar remotamente o PC infectado.

A tela azul (ou tela preta) da morte do Home windows normalmente é um sinal de que ocorreu algum erro ou conflito irrecuperável. Agora, os cibercriminosos estão usando o temido BSOD como uma forma de enganar as pessoas para que executem malware.

Em um novo campanha de malware rastreada pela empresa de segurança cibernética Securonixos invasores estão usando a engenharia social ClickFix, CAPTCHAs falsos e BSODs falsos para convencer as vítimas a copiar e colar códigos maliciosos. Uma vez executado, o código implanta um RAT (trojan de acesso remoto) vinculado à Rússia que permite que os criminosos assumam remotamente o controle do PC e implantem malware adicional.

Além disso: 9 coisas que sempre faço depois de configurar o Home windows 11 – e por que você deveria fazer o mesmo

Voltada para a indústria hoteleira e hoteleira, a campanha batizada de PHALT#BLYX é descrita pela Securonix como uma cadeia de infecção em vários estágios, pois conduz suas vítimas por uma série de etapas.

Como funciona o ataque

O ataque começa com um e-mail de phishing que contém um hyperlink para um web site falso disfarçado de agência de viagens on-line Reserving.com. O e-mail aparentemente inclui uma solicitação para cancelar uma reserva para convencer o destinatário a interagir com ela. Selecionar o hyperlink para o web site exibe uma página com um immediate CAPTCHA falso que aciona o BSOD falso.

A partir daí, a campanha se transforma em uma tática infame ClickFix, que visa induzir as pessoas a se infectarem, copiando e colando código ou iniciando determinados comandos em seus sistemas. Nesse caso, o destinatário é instruído a corrigir o BSOD copiando e colando um script malicioso na caixa de diálogo de execução do Home windows.

Adotar a tática ClickFix executa um comando do PowerShell que baixa e executa um arquivo de projeto MSBuild chamado v.proj. Neste ponto, o malware é inteligente o suficiente para desativar o Home windows Defender e continuar sem ser detectado. Ele também estabelece persistência configurando-se como uma URL na pasta de inicialização, para que seja carregado automaticamente sempre que o Home windows for iniciado.

Além disso: este novo ataque cibernético induz você a se hackear. Veja como identificá-lo

Se a vítima mordeu a isca até agora, a carga last é uma versão ofuscada do DCRat, um trojan capaz de estabelecer acesso remoto, registrar pressionamentos de teclas, executar código malicioso por meio de processos legítimos e instalar cargas secundárias.

Os atacantes apostaram em alguns fatores para tornar esta campanha um sucesso. Primeiro, foi lançado durante a temporada de férias normalmente movimentada para a indústria hoteleira. Em segundo lugar, explora o Reserving.com, um web site que sofreu abusos no passado e continua well-liked entre os golpistas.

Os e-mails de phishing listam as tarifas dos quartos em euros, uma indicação de que os ataques têm como alvo hotéis e empresas similares na Europa. A inclusão do idioma russo no arquivo de construção do MS “v.venture” vincula a campanha a invasores russos que usam DCRat.

Como a campanha se destina à indústria hoteleira, o utilizador doméstico médio provavelmente não será afetado. Mas para organizações e indivíduos na mira, a Securonix oferece as seguintes dicas para combater a ameaça.

  1. Conscientização do usuário. Eduque seus funcionários sobre a tática ClickFix. Avise-os contra quaisquer e-mails que solicitem que colem código na caixa Executar do Home windows ou no terminal do PowerShell, especialmente se acionados por um BSOD ou outro tipo de erro.
  2. Cuidado com e-mails de phishing. Tenha cuidado com quaisquer e-mails que afirmem ser de serviços de hospitalidade como Reserving.com, especialmente aqueles com solicitações financeiras urgentes. Verifique todos esses e-mails por meio de canais oficiais, em vez de clicar nos hyperlinks incluídos.
  3. Monitorar o uso do MSBuild.exe. Configure o monitoramento para uso do arquivo MSBuild.exe. Certifique-se de que seu suporte técnico ou equipe de TI seja alertado sobre instâncias em que o MSBuild.exe executa arquivos de projeto a partir de pastas incomuns ou tenta iniciar conexões de rede externas.
  4. Monitore outros arquivos executáveis. Monitore outros arquivos executáveis ​​legítimos, como aspnet_compiler.exe, RegSvcs.exe e RegAsm.exe. Procure qualquer atividade estranha ou incomum, como estabelecer conexões de rede de saída para endereços IP desconhecidos através de portas incomuns.
  5. Monitore arquivos suspeitos. Configure o monitoramento para procurar a criação de tipos de arquivos suspeitos, como arquivos .proj e .exe. Preste atenção especial se esses arquivos forem criados na pasta ProgramData do Home windows ou na pasta de inicialização do Home windows.
  6. Habilitar o log do PowerShell. Configure o log de bloco de scripts do PowerShell no Visualizador de eventos do Home windows (ID de evento 4104) para registrar e analisar o conteúdo dos scripts executados.



avots

ARTIGOS RELACIONADOSMais do autor