Pesquisadores fizeram alertas na semana passada de que o mesmo grupo hacker apontado como responsável por ataques patrocinados pelo governo russo está por trás de um golpe que envolve uma brecha do Word, software de edição de texto do pacote Office.
O grupo em questão é conhecido como APT28 ou Fancy Bear. O golpe deles explora o Dynamic Data Exchange (DDE), recurso que permite que um arquivo execute códigos presentes em outro arquivo e também possibilita o recebimento de atualizações por meio dessa troca de informações dentro do software.
A Trend Micro publicou um comunicado na quinta-feira, 9, avisando que o Fancy Bear resolveu aproveitar essas possibilidades através de um arquivo distribuído por e-mail com o nome IsisAttackInNewYork.docx. Ao ser aberto, ele ativa um malware chamado Seduploader, que é instalado no computador da vítima.
Quando aberto, o documento infectado exibe mensagens informando que depende de outro arquivo para operar corretamente e que deseja executar aplicações externas. Se der “Sim” nos dois avisos, o usuário cai na armadilha.
Como destaca o Ars Technica, os problemas com o DDE são conhecidos há anos, mas voltaram a chamar atenção no mês passado, depois que a empresa de segurança SensePost publicou um texto sobre isso. A questão mais preocupante é que a comunicação inter-software proporcionada pelo recurso permite que um golpe passe batido pelos programas antivírus.
A Microsoft se pronunciou sobre os alertas aconselhando seus usuários a prestar atenção sempre que receberem arquivos estranhos, principalmente de fontes desconhecidas. Para dar certo, um ataque desses depende da ingenuidade da vítima, então é preciso ficar sempre alerta.