Uma nova campanha de spam está mirando funcionários de instituições financeiras, ou bancos, no Brasil. No caso, arquivos HTML estão sendo enviados com Trojan bancário para infectar máquinas e roubar dados de acesso, segundo pesquisadores da Trustwave.
Ao acessar o email, os funcionários poderão encontrar uma mensagem com o anexo “comprovante.chm”, na verdade, um CHM malicioso. Caso o download seja realizado, dificilmente a máquina detectará o malware, já que ele é extremamente sofisticado: apenas 8 de 60 programas antivírus detectaram problema no arquivo, notou Rodel Mendrez, pesquisador da Trustwave.
O ataque se baseia no Microsoft Compiled HTML Help (CHM). Dessa maneira, cibercriminosos podem rodar um JavaScript e levar as vítimas para ambientes externos. “Assim que o usuário abre o CHM, ele executa um pequeno comando PowerShell que faz o download de um segundo script PowerShell. A persistência é obtida criando uma tarefa agendada para executar o malware quando o usuário faz o login”, disse Mendrez.
Segundo Rodel, após infectar a máquina, o malware tem a capacidade de roubar nomes de usuário, do computador e enviar relatos para um servidor externo. Dessa maneira, os cibercriminosos podem obter informações sensíveis e formular ataques diretos em contas bancárias.
Leave a Reply