Todos os dias, milhões de mensagens de spam são enviadas e, embora a maioria seja propaganda inofensiva, eventualmente um arquivo malicioso está escondido em uma das mensagens.

Para que o destinatário clique e abra o arquivo que faz o download do malware, os cibercriminosos fazem uma maquiagem para torná-lo interessante, útil ou importante: um documento de trabalho, uma boa oferta, um cartão-presente com o logotipo de uma empresa conhecida etc.

Os golpistas têm seus formatos preferidos e nesta publicação discutiremos os tipos de arquivos mais usados este ano para esconder malwares.

1. Arquivos ZIP e RAR
Os cibercriminosos adoram esconder malwares em arquivos. Por exemplo, usavam arquivos ZIP com o nome Love_You0891 (os números podem variar) para distribuir o ransomware GandCrab no Dia dos Namorados. Algumas semanas depois, um grupo de golpistas enviou arquivos com o Trojan Qbot, especializado em roubo de dados.

Este ano, também testemunhamos a descoberta de um recurso muito interessante no WinRAR. Aparentemente, durante a criação de um arquivo, você pode definir uma série de comandos para que o conteúdo seja descompactado na pasta do sistema. Ou seja, os arquivos poderiam ir para a pasta de inicialização, e seriam executados na próxima reinicialização. Por isso, recomendamos que todos os usuários do WinRAR atualizem o programa imediatamente par evitar malwares.

2. Documentos do Microsoft Office
Os arquivos do Microsoft Office, todos os documentos do Word (DOC, DOCX), planilhas do Excel (XLS, XLSX, XLSM), apresentações e modelos também são muito populares entre os cibercriminosos. Esses arquivos podem conter macros integradas – pequenos programas que são executados dentro do arquivo, que cibercriminosos usam como scripts para baixar malware.

Normalmente, esses arquivos são destinados a funcionários de empresas que trabalham em escritórios. Eles são enviados disfarçados de contratos, faturas, notificações fiscais e mensagens da equipe de gerenciamento. Por exemplo, um Trojan bancário, conhecido como Ursnif infectou muitos dispositivos de usuários italianos por imitar uma notificação de pagamento. Se a vítima abriu o arquivo e aceitou ativar a macro (desativada por padrão devido a motivos de segurança), o Trojan foi baixado para o computador.

3. Arquivos PDF
Muitos usuários conhecem os perigos das macros em documentos do Microsoft Office, mas geralmente não o das armadilhas ocultas em arquivos PDF. De fato, esse formato pode ser usado para criar e executar arquivos JavaScript.

Além disso, os cibercriminosos gostam de esconder links maliciosos em PDF. Por exemplo, em uma campanha de spam, os golpistas incentivavam os usuários a visitar uma página “segura” na qual precisavam fazer login na conta da American Express. Evidentemente, as credenciais das vítimas foram diretamente para os golpistas.

4. Imagens de disco IMG e ISO
Em comparação com os formatos anteriores, os arquivos IMG e ISO não são usados com muita frequência para ataques com malwares, embora os cibercriminosos tenham recentemente dedicado atenção a eles. Esses arquivos (imagens de disco) são basicamente uma cópia virtual de um CD, DVD ou outro tipo de disco.

Os golpistas usaram uma imagem de disco para enviar malware. É o caso do Trojan Agent Tesla, que roubou credenciais. Dentro da imagem havia um arquivo executável malicioso que, uma vez executado, ativava e instalava o spyware no dispositivo. Em alguns casos, os cibercriminosos usaram dois anexos (um ISO e um DOC) para assegurar a infecção.

Como gerenciar anexos potencialmente perigosos
Você não precisa enviar todas as mensagens com anexos ou documentos DOCX / PDF para a pasta de spam com intuito de proteger sua equipe de malware e evitar golpes. Em vez disso, lembre-se dessas regras simples:

• Não abra e-mails suspeitos de endereços desconhecidos. Se você não sabe o motivo pelo qual uma mensagem com um tema específico acabou na sua caixa de entrada, provavelmente não precisa dela;
• Se você tiver que lidar com remetentes desconhecidos por motivos de trabalho, verifique cuidadosamente o endereço e o nome do arquivo anexado. Se algo for estranho para você, não o abra;
• Não permita que macros sejam executadas em documentos que chegam por e-mail, a menos que seja inevitável;
• Tenha cuidado com os links que aparecem nos arquivos. Se eles não explicarem por que você precisa acessá-lo, ignore-o. Se realmente achar necessário verificar, insira manualmente o endereço do site no seu navegador;
• Use uma solução de segurança confiável que irá notificá-lo sobre arquivos perigosos, bloqueando e avisando quando você tentar abrir um site suspeito.

Fonte: Kaspersky