[ad_1]
Uma variedade de malware em constante evolução desenvolveu outro truque: ele se injeta em threads de email em andamento, esperando que alguém no thread abra um documento malicioso que infecte seu PC.
Qakbottambém conhecido como Qbot ou Pinkslipbot, começou como um Trojan bancário em 2007, mas desde então se transformou em roubar informações (incluindo senhas e números de cartão de crédito), instalar ransomware e backdoors e mapear as redes da empresa. Ele pode chegar em arquivos envenenados do Microsoft Workplace ou por meio de páginas da Internet infectadas.
A nova arma mais potente do Qakbot, de acordo com um Relatório Sophos publicado hoje (10 de março), é sequestrar contas de email, verificar se há tópicos de email em andamento que a conta de email está recebendo e, finalmente, adicionar mensagens de resposta aos tópicos que contêm hyperlinks para arquivos infectados do Workplace.
“Seu abuso de tópicos de email o torna particularmente perigoso”, escreveram Andrew Brandt e Steeve Gaudreault, da Sophos. “Os destinatários de email podem não perceber que as mensagens de email espalhadas pelo Qakbot não são apenas parte de uma conversa em andamento entre várias partes”.
Dançando sobre malware
O submit relatou como em outubro de 2021, um tópico que Brandt estava recebendo sobre dance tune experimental de repente continha mensagens de outros membros do tópico que pareciam estranhamente adaptados à linguagem de negócios – junto com um hyperlink para baixar um arquivo.
“Bom dia. Se não causar nenhum inconveniente, por desire, responda à última papelada que enviei”, dizia uma mensagem que não parecia ser sobre dance tune. “Caso a mensagem não tenha chegado, por desire, faça isso agora mesmo.”
Isso foi acompanhado por um endereço da internet contendo um arquivo ZIP, um arquivo compactado. Outras mensagens continham um texto ainda mais breve, como “Anexado é o documento que você precisa” ou “Por desire, leia isso o mais rápido possível”, juntamente com hyperlinks para arquivos ZIP on-line.
Uma dessas cargas úteis incluía instruções sobre como roubar credenciais de usuário para algumas dúzias de websites bancários e financeiros americanos
Esses arquivos ZIP são descompactados para criar arquivos do Phrase ou Excel que infectam sua máquina com malware quando você ignora as proteções da Microsoft contra documentos da Web clicando nos botões “Ativar edição” ou “Ativar conteúdo”. (A Microsoft está lentamente tornando esse tipo de processo de infecção mais difícil de ser realizado.)
“O malware entregou pelo menos três cargas úteis diferentes, incluindo um injetor da internet para roubar credenciais de login e um componente de varredura ARP que tentou traçar o perfil da rede em que estava sendo executado”, escreveram Brandt e Gaudreault.
Eles acrescentaram que o malware também gravou no Registro do Home windows e tentou enviar unsolicited mail da máquina de teste – e ainda estava funcionando bem em março.
“O mesmo malware inicial com o qual infectei um testbed em outubro permanece funcional e capaz de alcançar seu servidor de comando e controle”, escreveu Brandt. “Ele ainda recebe atualizações de carga útil, mesmo cinco meses depois.”
Uma dessas cargas incluía instruções sobre como roubar credenciais de usuários para algumas dúzias de websites bancários e financeiros americanos, incluindo Financial institution of The usa, Citibank, Wells Fargo, TD Ameritrade e Schwab, além de PayPal e Microsoft.
Como se proteger das injeções de email do Qakbot
Desnecessário dizer que isso não é algo que você esperaria ao ler um tópico de email sobre música de dança experimental ou qualquer atividade cultural que lhe agradasse.
Para evitar a infecção por malware que chega como parte de um encadeamento de email, a primeira regra é não baixar arquivos aleatórios do Workplace da Web — mesmo que pareçam vir de alguém que você conhece ou com quem trabalha.
Segundo, se você baixar e abrir os arquivos, NÃO desative as proteções internas da Microsoft. Se o arquivo disser que você precisa “Ativar conteúdo” ou “Ativar edição” para visualizar o arquivo, provavelmente é mal-intencionado.
Terceiro, instale e use alguns dos melhor antivírus Programas. Você já tem um muito bom com o integrated Antivírus Microsoft Defendermas o antivírus de terceiros fará um trabalho melhor ao bloquear websites maliciosos conhecidos e capturar malware antes que ele seja “descompactado”.
Você também pode usar um instrument antivírus para verificar todos os arquivos baixados antes de abri-los. Basta navegar até o arquivo no gerenciador de arquivos do Home windows Explorer e clicar com o botão direito do mouse para abrir um menu que inclui uma opção para verificar o arquivo.
[ad_2]