Um novo método de infecção de PCs não depende de arquivos executáveis ou nem mesmo macros do pacote Office, bastando que o usuário passe o mouse sobre um link para que a cadeia de contaminação comece. O ataque, associado a um grupo cibercriminoso russo, utiliza uma apresentação do PowerPoint e o nome da OCDE (Organização para a Cooperação e Desenvolvimento Econômico) para fazer vítimas de grande relevância.
O documento malicioso chega como um convite para participar de uma reunião da organização; em anexo, estariam instruções para entrar em uma reunião do Zoom. Quando aberta, a apresentação contém um link que realiza a infecção, bastando que o usuário passe o mouse sobre ele, mesmo que rapidamente e sem perceber, para que um script PowerShell malicioso seja ativado e baixe arquivos maliciosos, que alteram o registro do Windows e estabelecem permanência na máquina.
Todo o golpe acontece de forma furtiva, a partir do download de imagens no formato JPEG, mas que trazem os arquivos maliciosos em seus metadados. O malware servido é o Graphite, que chega a partir de uma conta no OneDrive e abusa de serviços do Windows para se comunicar com um servidor de controle, de onde recebe comandos e para o qual envia informações coletadas no computador.
Basta passar o mouse sobre um link malicioso na apresentação de PowerPoint para que códigos perigosos comecem a rodar e estabeleçam permanência no computador
Empresas com ligações com o governo, bem como a própria administração pública, são o alvo da campanha direcionada de ataques, associada a um bando a serviço da Rússia. O APT28, que também atende pelo nome de Cozy Bear, é conhecido do noticiário de segurança, já tendo realizado operações semelhantes contra instituições oficiais; a nova campanha estaria em andamento desde o final de agosto.
Novo golpe para PC é sofisticado
Isso se trata de um golpe bem planejado, uma vez que alguns dos domínios usados para o disseminar foram criados entre janeiro e fevereiro deste ano. Menos de 10 ocorrências foram registradas, três em 25 de agosto e outras cinco em 09 de setembro, todas na União Europeia e leste da Europa, novamente indicando um ataque altamente direcionado. Ainda que a ideia de contaminações por meio da passagem do mouse não seja efetivamente inédita. Casos assim vêm sendo apontados desde junho de 2017 por pesquisadores em segurança, mas não é comum ver esse tipo de ofensiva acontecendo de forma ampla. Apesar do método diferenciado, a forma de comprometimento dos dados segue parecida. A principal recomendação de segurança é a de sempre: não clicar em links desconhecidos e somente baixar arquivos de contatos legítimos, quando se tem certeza da origem do arquivo. Manter sistemas operacionais e aplicativos atualizados, assim como usar uma boa solução de segurança, também ajuda na proteção.