A empresa de cibersegurança Forcepoint descobriu uma nova e preocupante campanha de phishing que utiliza ficheiros de imagem de disco rígido virtual para distribuir malware perigoso, contornando as proteções de segurança habituais.
A campanha envolve e-mails de phishing disfarçados de ordens de compra. Estes e-mails contêm um ficheiro anexo que, quando extraído, revela um ficheiro de imagem de disco rígido virtual (.VHD).
Quando o utilizador abre este ficheiro .VHD, ele monta-se automaticamente como uma unidade de disco rígido no sistema. De seguida, executa um script batch que inclui várias técnicas de ofuscação, como caracteres inúteis, codificação Base64 e ficheiros com encriptação AES.
Este script batch tem duas funções principais: instalar o Trojan de Acesso Remoto (RAT) Venom e iniciar um script PowerShell que utiliza o serviço Pastebin para hospedar o servidor de comando e controlo (C2) e exfiltrar os dados roubados.
O perigo do VenomRAT
O VenomRAT é um tipo de malware particularmente perigoso que permite aos cibercriminosos assumir o controlo total de um sistema infetado. Uma vez instalado, este trojan possibilita aos atacantes executar comandos remotamente, roubar informações sensíveis e manipular o computador da vítima sem o seu conhecimento.
Além disso, o VenomRAT tem capacidades avançadas como registo de teclas, extração de credenciais guardadas em navegadores web e aplicações, captura de ecrã, ativação da webcam, implementação de mecanismos de persistência e instalação de malware adicional.
Prashant Kumar, investigador da Forcepoint, explica que os cibercriminosos optaram por utilizar ficheiros VHD para contornar as soluções de segurança de e-mail e proteção de endpoints que os alvos possam ter instaladas nos seus dispositivos.
“Os atacantes estão sempre à procura de novas formas de distribuir malware sem serem detetados, visando grandes comunidades”, afirma Kumar. “Esta técnica permite-lhes ultrapassar medidas de segurança, entregar malware, infetar sistemas e exfiltrar dados – tudo isto utilizando um ficheiro de imagem de disco rígido virtual para hospedar e distribuir o malware VenomRAT.”
Como te podes proteger
Para te protegeres contra este tipo de ataques, é fundamental seguires algumas boas práticas de segurança:
- Mantém o teu software e sistemas operativos sempre atualizados e utiliza soluções de segurança robustas, mantendo-as igualmente atualizadas.
- Tem cuidado ao abrir anexos de e-mail, especialmente de remetentes desconhecidos, e verifica sempre a autenticidade de pedidos de compra ou outras comunicações empresariais sensíveis.
Esta nova campanha de phishing demonstra como os cibercriminosos continuam a evoluir as suas táticas para contornar as medidas de segurança. Fica atento e mantém-te informado sobre as últimas ameaças para protegeres os teus dados e sistemas contra estes ataques cada vez mais sofisticados.
Outros artigos interessantes:
