Um grupo de cibercriminosos tem utilizado uma técnica conhecida desde 2020 para explorar vulnerabilidades no sistema de controle de acesso do Windows e instalar trojans de acesso remoto nos computadores das vítimas. De acordo com uma pesquisa realizada pela equipe de segurança da empresa SentinelOne, a ação se inicia com e-mails fraudulentos, que simulam o envio de notas fiscais, faturas ou contratos de negócios para enganar as pessoas.

Para dar ainda mais aparência de legitimidade, os bandidos utilizam domínios invadidos para dar mais credibilidade ao phishing.

Além disso, eles também utilizam malwares baixados de servidores conhecidos, como Google Drive e Microsoft OneDrive, para diminuir a possibilidade de detecção por softwares de segurança.

Como forma de evitar o monitoramento, os criminosos utilizam um formato inusitado de arquivo, TAR.LZ, disfarçado com ícones de PDF ou documentos do Word. Essa estratégia pode causar estranheza nos usuários, mas também reduz as chances de detecção por antivírus. Os bandidos confiam na falta de atenção das pessoas para executar a cadeia de comprometimento.

Assim que o documento é acessado, o trojan Remcos é transferido para o dispositivo por meio de uma conexão com o servidor de comando. Os invasores utilizam uma mistura de DLLs modificadas para criar o diretório C:Windows System32, que é o local onde o malware é armazenado e abre uma porta para que os criminosos possam entrar no sistema.

Os criminosos exploram uma falha no Controle de Contas de Usuário do Windows (UAC) que ignora o caractere extra, fazendo com que a pasta falsa seja identificada como pertencente à pasta padrão do sistema, que possui privilégios elevados. Essa técnica impede que alertas sejam exibidos durante a instalação do trojan, o qual também se utiliza de DLLs conhecidas e executáveis manipulados para agir de forma sigilosa.

Recomendações de segurança

Uma das recomendações de segurança da SentinelOne é que as empresas ativem sistemas mais restritivos de controle de usuários no Windows, com o UAC notificando todas as atividades realizadas. Embora essa alteração possa ser invasiva, ela ajuda a detectar ações maliciosas. Além disso, é importante monitorar as instalações e conexões suspeitas a serviços de hospedagem e cloud computing para identificar possíveis golpes em andamento. Por isso, é importante que os administradores fiquem atentos a pastas específicas e elementos que possam ser utilizados pelos criminosos.