Criminosos digitais estão recorrendo a um truque antigo, com mais de quatro anos de existência, para intensificar as contaminações envolvendo duas categorias de malware, o Qbot e o Lokibot. Os alvos das campanhas são os sistemas corporativos, contaminados a partir de macros presentes em arquivos do Office, enquanto o método de infecção é um que já foi usado em ondas de infecção focadas no Brasil.
Trata-se do regsvr32, um utilitário de linha de comando usado para fazer alterações no registro do Windows, principalmente envolvendo DLLs e controles ActiveX. No caso da exploração maliciosa, batizada de Squiblydoo, entretanto, o sistema é usado para catalogar arquivos na memória, que servem como porta de entrada para os malwares que roubam credenciais e dados pessoais.
De acordo com a empresa especializada em segurança Uptyck, o método que vinha dormente e registrando pouquíssimas detecções nos últimos anos teve um aumento brusco em dezembro do ano passado. O crescimento, entretanto, já vinha desde novembro, enquanto janeiro de 2022 registrou números menores, mas ainda assim significativos e indicadores de uma campanha maliciosa em andamento.
A tática é semelhante à que tem sido vista desde 2017, quando postagens do Facebook eram usadas para disseminar as pragas, com foco no roubo de dados de usuários da rede social — brechas em aplicativos também já foram exploradas de maneiras semelhantes. Adaptando a estratégia a novos tempos, como dito, os criminosos da vez usam arquivos do Excel e PowerPoint, a partir de e-mails e mensagens de phishing, como forma de obter intrusão em redes corporativas.
Como o regsvr32 é uma ferramenta real do Windows, a exploração pode evadir sistemas de segurança. Por isso, a recomendação dos especialistas é de cuidado quanto a e-mails fraudulentos e arquivos que cheguem por esses meios, assim como a atenção para que a execução de macros do Office não seja permitida — um recurso que, inclusive, está prestes a receber bloqueios adicionais pela própria Microsoft, justamente para coibir a ascensão de ataques contra corporações.
Fonte: Canaltech