Kaspersky Lab identifica nova onda de ataques usando arquivos maliciosos .VBE

Campanha brasileira de spam com tema do Windows 10 é destaque entre os golpes que utilizam esta técnica

Velhos truques nunca morrem, e os cibercriminosos sabem disso. Recentemente, a Kaspersky Lab identificou uma grande onda de ataques usando arquivos .VBE sendo disseminados por mensagens de e-mail e atingindo usuários brasileiros. A maioria dos arquivos solicita a realização de um download e, após sua execução, instala uma série de programas maliciosos no computador da vítima, como trojans bancários, RATs (remote admin tool) e em alguns casos, malware que altera boletos bancários.

Arquivos .VBE (VBScript Encoded) são scripts executados pelo Windows Script Host, assim como arquivos .JS (Javascript) e .VBS (Visual Basic Script), que podem ser usados para baixar programas de um site da internet, executá-los, fazer alterações profundas no sistema, entre outros comandos. São potencialmente maliciosos e há muito tempo várias pragas tem usado esse formato para se disseminar, especialmente worms de rede.

Segundo Fabio Assolini, analista sênior de malware da Kaspersky Lab, os cibercriminosos brasileiros gostam de usar extensões executáveis pouco conhecidas em seus ataques, como o formato .CPL, que há muitos anos tem sido usado nesse ataques, pois muitos internautas não sabem do potencial malicioso presente nesses arquivos.

“O ataque começa com mensagens de e-mail (exemplo abaixo) com um arquivo .ZIP anexado. Algumas delas possuem apenas um link para descarregar o arquivo .VBE, usando uma variedade de temas, como por exemplo, o lançamento do Windows 10 (mais detalhes abaixo). O arquivo é bem pequeno (menos de 1 KB), mas dentro está o perigo, o arquivo VBE”, explica o analista brasileiro.

Essa mensagem foi enviada para o serviço “Malicioso”, contribua você também!

Para Assolini é interessante ver que mesmo após anos de ataques e abuso de arquivos .VBS, provedores de e-mail ainda aceitam arquivos executáveis de script anexos as mensagens. “Os golpistas só precisam colocar o arquivo malicioso dentro de um .ZIP ou .RAR e magicamente a mensagem maliciosa chegará até a caixa de entrada do usuário”.

Outlook.com ainda aceita arquivos VBE/VBS dentro de ZIPs.

Normalmente esse golpe utiliza arquivos maliciosos codificados para tentar burlar a detecção de produtos antivírus. Após sua decodificação, a Kaspersky Lab conseguiu identificar a real intenção dos cibercriminosos: instalar um programa para alterar boletos bancários.

Toda a família de malware que utiliza arquivos .VBE maliciosos são detectados pelos produtos da empresa, que recentemente registrou um aumento considerável em sua detecção. “O grupo de Trojan-Downloader.VBS.Agent atingiu mais de 4 mil detecções e verificamos também mais de 12 mil tentativas de infecção do Trojan-Downloader.VBS.Banload em apenas um dia”, afirma o analista brasileiro.

De acordo com as estatísticas globais da empresa, Brasil, Portugal e Espanha são os países mais atacados por este tipo de malware no último mês. “Isso não nos surpreende, pois o Brasil sempre aparece entre os líderes dos rankings de infecção de trojans bancários. A razão pelo qual os cibercriminosos decidiram usar este formato em seus ataques demonstra o quão efetivo velhas técnicas de ataque ainda são”, conclui Assolini, que garante que os usuários da Kaspersky lab estão protegidos contra esses ataques. “Se receber mensagens de e-mails com arquivos .VBE, fique atento e não execute o programa!”.

Campanha brasileira de spam utiliza atualização do Windows 10 para roubar senhas e dados financeiros de suas vítimas. Veja como se proteger!

Aproveitando a repercussão da campanha da Microsoft para migrar seus usuários para o novo Windows 10, cibercriminosos estão disseminando golpes que utilizam arquivos maliciosos .VBE para infectar as vítimas com trojans espiões. O ataque, identificado no Brasil pela Kaspersky Lab, é disseminado por spam e promete o download imediato do novo sistema operacional.

Para não levantar suspeita, o design da janela que mostra o progresso do carregamento é idêntico ao do site oficial da empresa. Uma vez executado, é feito o download do componente principal do trojan espião, que irá roubar os dados digitados no teclado e as informações armazenadas na área de transferência. O programa malicioso também tem backdoors que permitem executar sessões remotas.

“Este golpe tem a capacidade de roubar qualquer tipo de credenciais, como senhas de Internet Banking e redes sociais e números de cartão de crédito”, explica Dmitry Bestuzhev, diretor da equipe de pesquisadores e análistas da Kaspersky Lab na América Latina. “Até agora só detectamos ataques no Brasil, mas sabemos que as operações desses cibercriminosos que usam o script VBE se expantem para o resto do mundo, principalmente para os países da península Ibérica. É importante estar ciente dessa tática enganosa, pois a campanha pode ser replicada nos países vizinhos a qualquer momento”, alerta.

Confia as dicas da Kaspersky Lab para não cair neste tipo de golpe:

Mantenha em seu PC uma solução de segurança confiável e robusta, que conte com defesas próativas contra novas ameaças, ao invés de uma protecção básica de antivírus.
Execute as atualizações dos programas instalados e do sistema operacional em seus dispositivos em seus dispositivos assim que eles são disponibilizados, não deixe-os para depois!
Nunca clique em links ou arquivos anexados nas mensagens de e-mail não solicitados e de desconhecidos.

Para mais informações sobre a campanha, acesse o artigo em SecureList: https://securelist.com/blog/incidents/71741/the-rush-for-windows-10-infects-pcs-with-spy-trojan/