O malware Zeus/ZBOT e suas variantes, já conhecidos pelo envolvimento no roubo de credenciais em sites de redes sociais e bancos, passaram a ser utilizados em uma nova tática de engenharia social nos formatos PDF. De acordo com pesquisas da Trend Micro, multinacional especializada em segurança virtual, esses arquivos tornam-se veículos para a propagação das ameaças, que exploram diferentes vulnerabilidades descobertas nos softwares Adobe Reader e Acrobat.
Porém, a empresa observou recentemente um PDF criado para extrair uma variante ZBOT do computador s em explorar sua vulnerabilidade. Ao invés disso, esse arquivo malicioso usa um recurso legítimo do Adobe Reader: a função /launch, usada na especificação do PDF. Ela permite que o autor de um documento portátil anexe um arquivo executável e, por meio de engenharia social, induza os usuários a salvarem e executarem o tal arquivo.
Atualmente, a Trend Micro detecta esse arquivo PDF como TROJ_PIDIEF.UTA., que chega anexado a uma mensagem de spam supostamente enviada pelo "Royal Mail", a agência postal britânica. No corpo do e-mail, a mensagem alega que uma correspondência não foi recebida e que o arquivo Royal_Mail_Delivery_Invoice_1092817.pdf anexo é a notificação para a fatura da entrega.
Ao abrir PDF malicioso, o Adobe Reader e o Acrobat avisam o usuário que o arquivo contém um possível risco à segurança e que ele precisa permitir a execução do programa, caso tenha vindo de uma fonte confiável. O aviso é de um recurso legítimo do Adobe Reader e do Acrobat, que aciona a extração de uma variante ZBOT. Ao clicar no botão Abrir, o arquivo malicioso embutido é executado. Esse arquivo extraído é detectado pela Trend Micro como TSPY_ZBOT.NCT. O arquivo PDF contém, ainda, um calendário que ajuda a ocultar seus procedimentos do usuário, para enganá-lo quanto à legitimidade.
Como precaução, é possível alterar as configurações do programa para desativar a execução de anexos em documentos externos. Isso pode ser feito da seguinte forma:
1. No Adobe Reader e no Acrobat, clique no menu Editar, depois em Preferências.
2. Na Categoria Gerenciador de Confiança, desmarque a caixa Permitir abertura de anexos de arquivos não PDF com aplicativos externos.
Os usuários da Trend Micro estão protegidos desse ataque por meio do Smart Protection Network que bloqueia o acesso do usuário a todas as URLs maliciosas e detecta todos os malwares relacionados.
Baseado em post de: TrendLabs | Malware Blog - por Trend Micro
Nenhum comentário:
Postar um comentário