Emails de phishing induzem usuários a colar scripts maliciosos
Pesquisadores de segurança cibernética identificaram uma nova campanha de phishing que utiliza uma técnica sofisticada chamada “paste and run” para enganar usuários a colar e executar comandos maliciosos em seus sistemas. Esta abordagem insidiosa tem como objetivo infectar dispositivos com o malware DarkGate, potencialmente comprometendo dados sensíveis e a segurança geral do sistema.
Como Funciona a Técnica “Paste and Run”
Os atacantes enviam e-mails fraudulentos que aparentam ser de empresas ou organizações legítimas. Estes e-mails abordam temas como processamento de taxas ou instruções operacionais, incentivando as vítimas a abrir arquivos anexos. Ao clicar no anexo HTML, o navegador exibe uma mensagem falsa, simulando um documento do Microsoft Word.
A mensagem instrui o usuário a clicar em um botão “Como corrigir”, fornecendo uma sequência de comandos para serem digitados:
- Pressionar [Win+R]
- Pressionar [Ctrl+V]
- Pressionar [Enter]
Alternativamente, o botão pode instruir o usuário a acessar manualmente o terminal do Windows PowerShell e colar o conteúdo copiado.
Execução do Script Malicioso
Ao seguir essas instruções, o usuário acaba colando um script malicioso no terminal. Este script, parte da família de malwares DarkGate, é executado imediatamente, iniciando o processo de infecção. O script baixa e executa um arquivo HTA (HTML Application) de um servidor de comando e controle remoto. Em seguida, este arquivo HTA executa um arquivo AutoIt3.exe com um script malicioso adicional.
Ocultação da Atividade Maliciosa
Para esconder suas atividades, o script limpa a área de transferência do usuário após a execução dos comandos, dificultando a detecção da execução maliciosa.
Fonte: BoletimSec
Saiba mais sobre o Seguro Cyber:
