03/10/2022
NOVO GOLPE INFECTA PCS AO PASSAR O MOUSE SOBRE O LINK
Um novo método de infecção de PCs não depende de arquivos executáveis ou nem mesmo macros do pacote Office, bastando que o usuário passe o mouse sobre um link para que a cadeia de contaminação comece. O ataque, associado a um grupo cibercriminoso russo, utiliza uma apresentação do PowerPoint e o nome da OCDE (Organização para a Cooperação e Desenvolvimento Econômico) para fazer vítimas de alto escalão.
O documento malicioso chega como um convite para participar de uma reunião da organização; em anexo, estariam instruções para entrar em uma reunião do Zoom. Quando aberta, a apresentação contém um link que realiza a infecção, bastando que o usuário passe o mouse sobre ele, mesmo que rapidamente e sem perceber, para que um script PowerShell malicioso seja ativado e baixe arquivos maliciosos, que alteram o registro do Windows e estabelecem permanência na máquina.
Todo o golpe acontece de forma furtiva, a partir do download de imagens no formato JPEG, mas que trazem os arquivos maliciosos em seus metadados. O malware servido é o Graphite, que chega a partir de uma conta no OneDrive e abusa de serviços do Windows para se comunicar com um servidor de controle, de onde recebe comandos e para o qual envia informações coletadas no computador.
Basta passar o mouse sobre um link malicioso na apresentação de PowerPoint para que códigos perigosos comecem a rodar e estabeleçam permanência no computador
Empresas com ligações com o governo, bem como a própria administração pública, são o alvo da campanha direcionada de ataques, associada a um bando a serviço da Rússia. O APT28, que também atende pelo nome de Cozy Bear, é conhecido do noticiário de segurança, já tendo realizado operações semelhantes contra instituições oficiais; a nova campanha estaria em andamento desde o final de agosto.
Fonte:https://canaltech.com.br/espionagem/novo-golpe-infecta-pcs-ao-passar-o-mouse-sobre-um-link-226190/
