Na Internet, é preciso estar sempre muito atento aos potenciais vírus. Pelos vistos, há uma nova campanha de malware que evoca erros falsos do Google, Word e OneDrive para colocar a tua segurança em risco.
De acordo com a Bleeping Computer, trata-se de uma ação coletiva de autores que já infetaram inúmeros utilizadores através de um envio massivo de e-mails. Lembras-te dos ataques do ClearFake? Tudo indica que este problema tem a mesma origem.
Supostamente, este vírus leva o utilizador a clicar em botões de correção. Esta correção é copiada a partir do PowerShell, diretamente para a área de transferência. Depois, a tendência é colar num novo prompt do próprio PowerShell.
Os hackers criam o problema e dão uma aparente solução
Com base num relatório do ProofPoint, “embora a cadeia de ataque exija uma interação significativa do user para ter sucesso, a engenharia social é inteligente o suficiente para apresentar a alguém o que parece ser um problema e uma solução real simultaneamente, o que pode levar o user a agir sem considerar o risco”.
Segundo a mesma fonte, especializada em segurança, há três principais redes de ataque. Uma delas atua sempre que um utilizador visita sites pouco seguros, que contêm scripts maliciosos hospedados no blockchain.
Simplificando, o passo seguinte é esse script dar um suposto aviso do Google Chrome, que dá conta de um problema de exibição na página web. Os agentes de malware convidam-te, de seguida, a instalar um “certificado raiz”, sendo preciso copiar um script do PowerShell e executá-lo.
Para além desta campanha de malware, há outra relacionada com a “ClickFix”. Esta utiliza, mais uma vez, sites com segurança comprometida para criar um iframe que se sobrepõe a um erro falso do Google Chrome.
Mais uma vez, os utilizadores são convidados a recorrer ao “Windows PowerShell (Admin)” e colar esse mesmo código. De resto, tudo funciona de forma semelhante ao primeiro caso.
Um dos casos envolve a instalação do Word Online
Por fim, há ainda um terceiro caso, baseado em e-mail e que usa anexos HTML que se parecem a documentos do Microsoft Word. O utilizador, de seguida, é convidado a instalar o “Word Online” para ver melhor o documento.
A fase seguinte envolve a aparição de duas opções: “como corrigir” e “corrigir automaticamente”. A primeira faz com que copies um comando do PowerShell para a área de transferência, levando-te a colá-lo no PowerShell depois.
Já a forma de corrigir automaticamente, por sua vez, usa o protocolo search-ms, que exibe um arquivo “fix.msi” ou “fix.vbs”. Nesta situação, o PowerShell executa um arquivo MSI ou VBS e fica contaminado, como explica a mesma fonte.
Apesar da complexidade dos termos, há uma coisa que se sabe: os agentes de malware aproveitam-se do desconhecimento dos utilizadores. Outro fator que interessa aos hackers é o Windows não reparar nestas ações, o que torna tudo mais fácil. Por isso, se te aparecer algo parecido às imagens acima expostas, o melhor é não clicares em nada.
