Em fevereiro de 2022, o investigador de malware Chris Campbell detectou uma nova campanha de phishing que utilizava ficheiros de texto CSV (comma-separated values) especialmente criados para infetar os dispositivos dos utilizadores com o trojan BazarBackdoor. Nesta publicação do blogue, analisamos o cenário de ataque e mostramos-lhe como evitar este ataque sofisticado com Deep CDR
(Desarme e Reconstrução de Conteúdo).
A tática de ataque
Nesta campanha de phishing, os cibercriminosos utilizaram um ficheiro CSV - um ficheiro de texto delimitado que armazena dados num formato tabular e utiliza uma vírgula para separar os valores. Este tipo de ficheiro é uma forma popular de trocar dados simples entre bases de dados e aplicações. Uma vez que um ficheiro CSV contém simplesmente texto sem código executável, muitos utilizadores pensam que é inofensivo e abrem rapidamente o documento sem precaução. Não suspeitam que o ficheiro possa ser um vetor de ameaça através do qual o malware pode entrar nos seus dispositivos se o ficheiro CSV for aberto com aplicações que suportem Dynamic Data Exchange (DDE), como o Microsoft Excel e o OpenOffice Calc. Estas aplicações podem executar as fórmulas e funções no ficheiro CSV. Os autores de ameaças abusam desta funcionalidade DDE para executar comandos arbitrários, que descarregam e instalam o trojan BazarBackdoor, para comprometer e obter acesso total às redes empresariais a partir do dispositivo da vítima incauta. Em comparação com as abordagens de ataque populares com uma macro maliciosa ou código VBA escondido num ficheiro do MS Office, as ameaças escondidas dentro de documentos DDE são mais difíceis de detetar.
Examinando cuidadosamente o ficheiro, podemos ver um comando =WmiC| (Windows Management Interface Command) contido numa das colunas de dados. Se as vítimas inadvertidamente permitirem que essa função DDE seja executada, ela criará um comando PowerShell. O comando irá então abrir um URL remoto para descarregar um BazarLoader e o BazarBackdoor será instalado na máquina da vítima.
Como é que o Deep CDR ajuda a defender-se contra ataques DDE
Pode proteger a sua rede contra estas sofisticadas campanhas de phishing, higienizando os ficheiros anexados em e-mails antes de chegarem aos seus utilizadores. Com a mentalidade de que todos os ficheiros representam uma ameaça potencial e centrando-se na prevenção e não apenas na deteção, o Deep CDR retira todo o conteúdo ativo dos ficheiros, mantendo a mesma usabilidade e funcionalidade dos ficheiros. O Deep CDR é uma das seis tecnologias-chave em MetaDefender - a plataforma avançada de prevenção de ameaças do OPSWATque abraça verdadeiramente a filosofia Zero Trust.
Abaixo estão os detalhes da higienização após processarmos o arquivo CSV infetado com o MetaDefender Core (Você também pode consultar o resultadoda verificação no MetaDefender Cloud). Deep CDR neutralizou a fórmula no arquivo para que não houvesse nenhum comando PowerShell criado. O malware então não pôde ser baixado.
Em ataques semelhantes, os autores das ameaças utilizam fórmulas mais complexas para evitar a deteção. Normalmente, as fórmulas no MS Excel começam com um sinal de igual (=). No entanto, como esta aplicação também aceita fórmulas que começam com um sinal diferente, como "=+" ou "@", em vez de apenas "=", a fórmula destrutiva nos ficheiros CSV pode ser:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Estes tipos de fórmulas podem iludir alguns sistemas CDR comuns. No entanto, o Deep CDR pode facilmente lidar com esta tática e produzir ficheiros limpos e seguros para consumo, neutralizando assim a ameaça.
Saiba mais sobre Deep CDR ou fale com um especialista técnico em OPSWAT para descobrir as melhores soluções de segurança para proteger a sua rede empresarial e os seus utilizadores contra ataques de dia zero e malware evasivo avançado.
