fbpx

O Macro Malware voltou

“Aviso: este documento contém macros”. Uma mensagem conhecida na década de 90 voltou, pois os cibercriminosos encontraram novas maneiras de induzir as pessoas a abrirem documentos que contêm macro malwares. Esta ameaça atualizada é dirigida aos usuários de empresas de grande porte que utilizam macros com frequência. Emails cuidadosamente trabalhados, com engenharia social, induzem os usuários a abrirem documentos aparentemente legítimos e, depois, ativar a macro. Segundo o mais recente Relatório do McAfee Labs sobre Ameaças, os incidentes com macros mal-intencionadas quadruplicaram no último ano.
Os alvos mais frequentes do macro malware são documentos do Microsoft Office, especialmente os arquivos do Word. O Word permite que as macros sejam executadas automaticamente, por exemplo, quando um usuário abre um documento, o fecha ou cria um novo documento. Esses comandos são normalmente utilizados por macros legítimos e mal-intencionados.
O caminho para uma infecção de sistemas de ampla escala, através de macro malware, geralmente começa com um anexo de email feito para parecer legítimo, muitas vezes socialmente projetado de acordo com o usuário-alvo. Entre os assuntos mais comuns estão frases como solicitação de pagamento, notificação de correio, currículo, nota fiscal de venda e confirmação de doação. O texto do email corresponde ao assunto, com informações suficientes para fazer com que o anexo seja aberto, inclusive assinaturas e logotipos com aparências oficiais.
Depois que ele for aberto, os recursos de segurança do Microsoft Office avisam o usuário que o arquivo contém macros e perguntam se ele quer ativá-las. Alguns desses arquivos têm textos extensos, afirmando que são protegidos e que as macros devem ser ativadas para que eles sejam lidos. Se o usuário clicar em “Ativar”, o código malicioso é executado, instalando um programa para baixar no sistema o malware que trará a carga real, e depois, na maioria das vezes exclui a si mesmo. O código malicioso também pode ser incorporado ao documento como um Objeto Ativo, que também gera avisos quando clicado, mas é possível que muitos usuários não estejam familiarizados com o potencial de ameaça desses arquivos.
Uma das maiores mudanças nos macro malwares, desde a última grande infestação, é a sua atual capacidade de se esconder, dificultando muito a sua detecção. Os criadores de macro malwares adotaram diversas técnicas de outros tipos de malware, entre elas, a inclusão de código de “lixo” e escrevendo strings criptografadas complexas. O código de “lixo” é apenas isso, um código que não é para ser executado, mas pode ser facilmente gerado e alterado frequentemente para derrotar os algoritmos de detecção de assinaturas e confundir os pesquisadores de ameaças. Mais complicado é a utilização de várias funções simples, tais como conversão de caracteres, para ocultar a URL mal-intencionada de gateways de email e de varreduras de palavras-chave de malware.
A simplicidade e facilidade de codificação dos macros as torna acessíveis a uma ampla gama de criminosos com pouco conhecimento tecnológico. Por isso, o possível alcance e a possível eficácia dos macro malwares significam que as empresas devem reeducar os usuários sobre essa ameaça. Além disso, o sistema operacional e os aplicativos devem ser mantidos atualizados, e as configurações de segurança de macros de todos os produtos do Microsoft Office devem ser definidas como Alta. Os aplicativos de email não devem abrir automaticamente os anexos. Os gateways de email e scanners de vírus também devem ser configurados para procurar e filtrar anexos de email que contenham macros.

*Vincent Weafer é vice-presidente do Intel Security Group