Uma nova onda de ataques de phishing altamente direcionados está aproveitando uma técnica clássica com um toque moderno para violar departamentos financeiros corporativos. Pesquisadores de segurança estão rastreando uma campanha ativa na qual agentes de ameaças distribuem malware ladrão de informações por meio de anexos de arquivos ISO, mirando especificamente instituições financeiras e equipes de contabilidade. A cadeia de ataque é notável pelo uso da montagem de unidade virtual para contornar controles de segurança e entregar um payload potente de coleta de dados.
A campanha começa com e-mails enganosos criados para parecer comunicações bancárias legítimas. Uma variante observada se passa por instituições bancárias alemãs como a Volksbank, usando linhas de assunto como "Informação para 2026" para criar uma falsa sensação de urgência ou importância oficial. Outros e-mails imitam confirmações de pagamento ou faturas, um favorito perene para atingir o pessoal financeiro que processa regularmente esses documentos. Os e-mails são projetados para pressionar o destinatário a abrir o arquivo anexado sem pensar duas vezes.
O componente crítico deste ataque é o arquivo de imagem de disco ISO (International Organization for Standardization) anexado ao e-mail. Arquivos ISO são cópias exatas de discos ópticos como CDs ou DVDs. Quando um usuário clica duas vezes em um arquivo ISO em um sistema Windows moderno, o sistema operacional o monta automaticamente como uma nova unidade virtual de CD/DVD no Explorador de Arquivos. Este é um recurso legítimo e padrão do Windows.
No entanto, neste esquema malicioso, a unidade virtual montada não contém documentos inofensivos. Em vez disso, ela contém um arquivo de atalho malicioso (LNK). O arquivo LNK é frequentemente disfarçado com um ícone familiar, como um documento PDF, para enganar os usuários a executá-lo. Uma vez clicado, o arquivo LNK executa um script ou inicia diretamente um executável malicioso. Este executável é o payload do ladrão de informações.
O malware stealer implantado é projetado para realizar uma varredura abrangente do sistema infectado. Seus principais alvos incluem:
- Credenciais salvas de navegadores da web (Chrome, Edge, Firefox, etc.) e clientes de e-mail.
- Dados de preenchimento automático e histórico de navegação.
- Cookies de sessão, que poderiam permitir que os atacantes sequestrem logins ativos em portais bancários ou sistemas corporativos.
- Arquivos de diretórios específicos, potencialmente buscando planilhas financeiras, relatórios ou documentos fiscais.
- Arquivos de carteiras de criptomoedas e chaves relacionadas.
Os dados roubados são então exfiltrados para um servidor de comando e controle (C2) controlado pelos atacantes, que podem monetizá-los por meio de fraudes diretas, vendê-los em fóruns clandestinos ou usá-los para ataques direcionados posteriores, como o Comprometimento de E-mail Corporativo (BEC).
Por que a técnica ISO é eficaz
Este método fornece várias vantagens para os atacantes:
- Contorno de filtros de e-mail: Muitos gateways de segurança de e-mail são configurados para bloquear anexos executáveis (.exe, .scr) ou de script (.js, .vbs). No entanto, arquivos ISO são menos comumente bloqueados por padrão, pois são formatos de arquivo legítimos. Os filtros geralmente não descompactam e escaneiam o conteúdo do ISO, permitindo que o arquivo LNK malicioso em seu interior passe despercebido.
- Evasão da Marca-da-Web (MotW): Quando um arquivo é baixado da internet ou de um e-mail, o Windows aplica um marcador de segurança conhecido como "Marca-da-Web". Isso pode acionar avisos do SmartScreen para arquivos executáveis diretos. Arquivos dentro de um ISO montado podem não herdar esse marcador da mesma forma, potencialmente reduzindo os alertas de segurança voltados para o usuário.
- Aproveitamento da engenharia social: O ato de montar um "disco" parece menos suspeito para alguns usuários do que executar diretamente um arquivo executável. A etapa extra (abrir o ISO, depois clicar no arquivo dentro) também pode baixar a guarda do usuário.
Estratégias de mitigação e defesa
Para equipes de cibersegurança, particularmente aquelas que defendem organizações financeiras, esta campanha ressalta a necessidade de defesas em camadas:
- Treinamento e conscientização do usuário: Departamentos financeiros devem ser treinados para ser excepcionalmente cautelosos com e-mails inesperados com anexos, mesmo aqueles que parecem vir de parceiros ou bancos conhecidos. Eles devem ser instruídos a nunca abrir arquivos ISO, IMG ou outras imagens de disco de fontes não verificadas.
- Controles técnicos: As organizações devem considerar a implementação de Política de Grupo ou políticas de segurança para desabilitar a montagem automática de arquivos ISO e outras imagens de disco via Windows Explorer. Isso força um processo de revisão manual.
- Segurança avançada de e-mail: Configurar gateways de e-mail para tratar arquivos ISO com alta suspeita. Implementar soluções capazes de realizar sandboxing e descompactar dinamicamente arquivos de contêiner para inspecionar seu conteúdo antes da entrega.
- Detecção e Resposta em Endpoint (EDR): Garantir que as soluções EDR estejam ajustadas para detectar a criação de arquivos LNK em locais inesperados (como unidades recém-montadas) e a subsequente geração de processos que exibem comportamento de stealer, como acesso em massa a credenciais de bancos de dados do navegador.
- Monitoramento de rede: Monitorar conexões com IPs ou domínios maliciosos conhecidos associados a servidores C2 de malware stealer.
O ressurgimento da entrega de infostealers baseada em ISO é um lembrete de que os agentes de ameaças reembalam continuamente técnicas antigas dentro de novas iscas de engenharia social. Para o alvo de alto valor que é o setor financeiro corporativo, manter a vigilância contra tais ameaças em evolução não é apenas uma preocupação de TI, mas um imperativo crítico de negócios.
Comentarios 0
¡Únete a la conversación!
Los comentarios estarán disponibles próximamente.