São Paulo, Brasil - De acordo com o relatório de ameaças 'ESET Threat Report', um exploit que aproveita uma vulnerabilidade do Microsoft Office 2017 foi a principal detecção maliciosa por e-mail na América Latina durante o segundo semestre de 2023. A ESET, líder em detecção proativa de ameaças, alerta que é utilizado por cibercriminosos para distribuir diferentes tipos de malware, como o Agent Tesla e outros trojans de acesso remoto.
Um exploit é um código que se aproveita de uma vulnerabilidade ou falha de segurança em um aplicativo ou sistema e geralmente é usado como uma chave para acessar os sistemas de uma vítima e realizar outra ação maliciosa, como o download de malware. O trojan CVE-2017-11882 é uma vulnerabilidade no editor de equações do Microsoft Office, datando de 2017 e ainda sendo amplamente utilizada por cibercriminosos para realizar ações maliciosas como o download de trojans de acesso remoto (RAT), ransomware, mineradores de criptomoedas ou outros tipos de malware, ou até mesmo algum downloader.
"Sendo uma vulnerabilidade que remonta a 2017 e para a qual existem patches de segurança, chama a atenção (e deve nos preocupar) que o exploit represente uma das vulnerabilidades mais relevantes durante 2023. Isso pode ser consequência de vários fatores, como a falta de investimento para aplicar o patch de segurança, o desaconselhável uso de software pirata ou simplesmente o desconhecimento dessa vulnerabilidade ou o equívoco em pensar que ela não apresenta nenhum risco", acrescenta Gutiérrez Amaya da ESET.
Neste caso, um cibercriminoso cria um arquivo malicioso, geralmente enviado por e-mail, e deve conseguir que a possível vítima o abra. Caso seja aberto e a vítima não tenha instalado o patch de segurança que corrige essa vulnerabilidade, o atacante poderá executar código com os privilégios do usuário. Isso significa que, se a vítima tinha privilégios de administrador, o ciberatacante poderá instalar programas e até mesmo excluir dados.
O elevado número de casos na América Latina relacionados à exploração dessa vulnerabilidade está vinculado a trojans de acesso remoto. Na maioria dos e-mails observados pela ESET, o arquivo malicioso é distribuído através de documentos Excel anexados. De fato, casos recentes indicam que ela foi utilizada para distribuir ameaças como o Agent Tesla, com o objetivo de roubar senhas do navegador, registrar as teclas digitadas pela vítima e o conteúdo da área de transferência.
A seguir, um exemplo de como essa ameaça é tentada ser distribuída através de um e-mail, com um arquivo Excel anexado, como ocorre em muitos casos:
Exemplo de e-mail de phishing que distribui exploit.
O e-mail malicioso, neste caso, tem a particularidade de utilizar o nome e até mesmo o cargo de uma pessoa real. Além disso, para confirmar a complexidade e evolução desses e-mails de phishing, a imagem demonstra como os cibercriminosos não usam um endereço de e-mail falso. De acordo com a ESET, isso ocorre porque os atacantes por trás dessa campanha utilizaram a técnica de spoofing de e-mail, que lhes permite ocultar o verdadeiro endereço do remetente em um e-mail malicioso e substituí-lo por um legítimo, suplantando a identidade de uma empresa ou usuário ao usar um domínio autêntico. Isso torna mais difícil de ser detectado.
A ESET compartilha algumas dicas para se proteger desse exploit:
- Atualizar as soluções de escritório e adotar o bom hábito de manter todo o software e hardware atualizados com as últimas atualizações de segurança. São essas atualizações que contêm patches que corrigem as vulnerabilidades geralmente exploradas pelos cibercriminosos.
- Aprender a reconhecer e-mails de phishing, verificando o endereço do remetente e outros elementos para determinar se uma comunicação que chega à caixa de entrada é falsa.
- Não baixar nem abrir anexos de e-mails que chegam de maneira inesperada e/ou não solicitada de remetentes desconhecidos, assim como não abrir links que podem ser incluídos nesse contexto.
- Ter instalado no computador e no dispositivo móvel um software anti malware que detecte e bloqueie qualquer e-mail suspeito a tempo.
"Se uma vulnerabilidade de 2017 ainda está sendo explorada hoje pelos cibercriminosos, o cenário é fácil de entender: a quantidade de empresas e usuários que não realizaram as atualizações necessárias é grande o suficiente para que continuem explorando-a para rentabilidade e crescimento de seus negócios. Ressaltamos a importância e a necessidade de estar atualizado com os patches e atualizações de segurança, tanto nos sistemas operacionais, navegadores e qualquer tipo de aplicação. Estamos a um clique de poder frear isso", concluí Gutiérrez Amaya da ESET América Latina.
Para saber mais sobre segurança da informação, visite o portal de notícias ESET. A ESET também convida você a conhecer o Conexão Segura, seu podcast para descobrir o que está acontecendo no mundo da segurança da informação. Para ouvir, acesse este link.