E-mail de phishing da Symantec nas indĂșstrias de defesa

A empresa de segurança Symantec lançou uma campanha para atingir pelo menos 12 diferentes indĂșstrias de defesa, agĂȘncias governamentais e companhias aĂ©reas e empresas de controle de trĂĄfego aĂ©reo.

Os ataques começam com um email de phishing direcionado intitulado “FW:. Perspectivas de 2012 para a indĂșstria aeroespacial e de defesa global ”.

aviĂŁo

As mensagens foram enviadas para pessoas que desempenham um papel importante em empresas especĂ­ficas – organizaçÔes, como diretores e vice-presidentes. Para tornĂĄ-lo legĂ­timo, as mensagens afirmam vir de funcionĂĄrios da empresa que desejam agredir hackers ou outras pessoas no setor.

O arquivo PDF anexado ao e-mail parece ser uma cĂłpia do relatĂłrio “VisĂŁo global da indĂșstria aeroespacial e de defesa”.

No entanto, quando executado, ele não apenas abre um documento genuíno, mas também tenta tirar proveito de uma vulnerabilidade remota existente em versÔes mais antigas do Adobe Flash Player.

“AlĂ©m do arquivo PDF puro, hĂĄ tambĂ©m uma versĂŁo maliciosa do arquivo svchost.exe, mas tambĂ©m uma versĂŁo maliciosa do ntshrui.dll. Esses dois arquivos entram no diretĂłrio do Windows quando o pdf Ă© aberto ”, diz Satnam Narang, da Symantec.

“A ameaça usa uma tĂ©cnica conhecida como seqĂŒestro de DLL (o arquivo ntshrui.dll nĂŁo Ă© protegido por KnownDLLs). Quando o arquivo svchost.exe chama o arquivo explorer.exe, ele carrega o arquivo malicioso ntshrui.dll em vez do legal ntshrui.dll no diretĂłrio do sistema do Windows. “

O malware, identificado pela Symantec como Backdoor.Barikiofork, pode ver os discos da vítima e se comunicar com o servidor do sistema de informaçÔes e controle dos hackers. Após receber os comandos, ele pode começar a enviar arquivos dos discos da vítima ou executar outros comandos.

A Symantec aconselha as organizaçÔes a desenvolver mecanismos de segurança apropriados para seus e-mails, que ajudarão a evitar esses ataques.