Atacantes abusam de recurso inocente do Windows 10 para infectar máquinas

windows 10

O comando do Windows Finger que é usado para exibir informações sobre usuários em uma máquina remota está sendo utilizado por atacantes para infectar dispositivos Windows 10 com malware. Foi descoberto que o comando pode ser mal utilizado para baixar o malware MineBridge no dispositivo de uma vítima desavisada.

O Bleeping Computer relata que o pesquisador de segurança Kirk Sayre identificou uma nova campanha de phishing (tipo de ataque cibernético que usa e-mail, SMS, telefone ou mídia social para convencer a vítima a compartilhar informações confidenciais) usando o Finger Command. A campanha envolve o envio do currículo de um suposto candidato. Quando a vítima clica para habilitar a edição no documento, uma macro é executada e usa o Finger Command para baixar um certificado codificado em Base64 que, na verdade, é o executável do malware. O downloader então usa o sequestro de DLL para fazer o sideload do malware MineBridge.

Histórico

O malware MineBridge foi identificado pela primeira vez por pesquisadores de segurança da FireEye há um ano, com a campanha inicialmente voltada para empresas de serviços financeiros nos Estados Unidos. Naquela época, uma campanha de phishing envolvendo uma candidatura fraudulenta a um emprego também foi usada. Esta também não é a primeira vez que o comando Finger foi reaproveitado para entregar software malicioso ao dispositivo de uma vítima.

Em setembro, descobriu-se que o comando Finger poderia ser usado para contornar os controles de segurança para baixar malware remotamente sem acionar alertas de antivírus. Visto que o comando Finger raramente é usado, pode ser uma boa ideia que os administradores de sistema bloqueiem o comando para evitar que os dispositivos sejam infectados com a linhagem do malware MineBridge. Visto que as campanhas de phishing estão se tornando mais populares à medida que os funcionários continuam a trabalhar remotamente, agora é ainda mais essencial que os líderes de TI implementem o máximo possível de proteções.