Falha envolve o uso de um mecanismo antigo de macros que ainda é suportado pela Microsoft.
Um novo ataque hacker explora uma falha de segurança na função de macros do Excel para infectar computadores Windows com o malware ServHelper. A ameaça existe desde novembro de 2018, mas foi descoberta apenas em janeiro de 2019. Segundo pesquisadores da firma Deep Instinct, a distribuição dessa vez se dá por meio e-mails com uma planilha infectada anexada. Ao executar o arquivo no PC, o código coloca em ação uma série de mecanismos genuínos do sistema da Microsoft para poder instalar softwares fraudulentos sem chamar atenção do antivírus.
A vulnerabilidade vem sendo explorada pelo grupo conhecido como TA505. Especula-se que, assim como ocorreu no ataque do ServHelper no começo do ano, os criminosos tenham como alvo, principalmente, redes de computadores empresariais — macros são recursos muito usados em planilhas avançadas. Ainda não se sabe quantas pessoas teriam sido afetadas até o momento.
O malware ServHelper teve duas versões na primeira vez que foi identificado, no início de 2019. Uma delas era responsável por criar uma ponte entre o computador infectado e o do criminoso por meio da função de acesso remoto. A partir daí, o hacker poderia roubar dados da máquina e sequestrar a seção do navegador para potencialmente invadir contas online.
Outra variante se comportava como um downloader. Uma vez instalado no PC do usuário, tem a tarefa de facilitar a transferência de outros arquivos perigosos destinados aos mais variados tipos de ataques.
A versão identificada pelos especialistas Deep Instinct se parece mais com a segunda, porém traz algumas particularidades. Segundo o relatório da empresa de segurança, o ataque tira proveito do sistema de macros 4.0 do Excel e passa despercebido por usar DLLs legítimas do Windows (arquivos do sistema que executam ações definidas, e podem ser executados ao mesmo tempo por programas diferentes). Dessa forma, o malware seria capaz de baixar programas maliciosos para o PC sem ser detectado por programas antivírus.
Como se proteger
Embora a campanha do grupo hacker TA505 tenha foco em empresas, todo usuário deve ficar atento. O arquivo Excel comprometido tem o formato XLM e costuma chegar em anexos de e-mail. Caso receba algo suspeito na caixa de entrada de um endereço desconhecido, é importante duvidar desse tipo de material e checar a veracidade da mensagem com o remetente antes de abrir o arquivo no PC.
Além disso, é importante deixar de lado as macros do Excel e optar pela migração para aplicações no formato VBA: baseadas na linguagem mais moderna Visual Basic, elas são mais seguras e oferecem funções ainda mais avançadas para enriquecer planilhas profissionais. A própria Microsoft recomenda a migração, e auxilia na incrementação do VBA para que ele realize as mesmas funções que as macros.
Fonte: Tech Tudo
