Jump to content
A Conviso está em busca de profissionais de tecnologia para trabalhar com AppSec! Você é um deles? Inscreva-se aqui! ×
  • Extensões perigosas no Windows

       (0 reviews)

    Fernando Mercês
     Share

    Apesar de ser um assunto que já foi tratado em muitos sites e fóruns, continuo a observar que alguns usuários do Windows devem ter mais atenção com o tipo de arquivo que aplica o famoso duplo-clique. Identificar se o arquivo é inofensivo ou se é uma ameaça pode ser mais fácil do que se imagina. Este artigo tem como intenção desmistificar as lendas sobre as extensões de arquivos maliciosos e alertar sobre as extensões perigosas.

    O sistema operacional Windows reconhece (deduz o conteúdo) dos arquvios por sua extensão. Mas o que é extensão de arquivo?

    Extensão de arquivo para o MS-Windows, comumente são os três caracteres após o ponto, no nome completo do arquivo. Por exemplo, documento001.txt, é um arquivo com extensão .TXT, logo, o Windows deduzirá que é um documento de texto e associará este documento à um certo programa, que poderá abrí-lo (recebendo seu caminho como parâmetro) mediante um duplo-clique neste documento.

    Confundiu? Bom, em termos práticos, cada extensão de arquivo que mereça, possui um determinado programa responsável por interpretar um duplo-clique num arquivo que possua tal extensão. Essas informações (quais extensões são abertas por qual programa) ficam no registro do Windows.

    Ainda com o exemplo do documento001.txt, vamos analisar sua associação: ao dar um duplo-clique nele, vemos que ele é aberto pelo Bloco de Notas (notepad.exe).

    A chave do registro responsável por armazenar as informações desta associação é, no Windows XP: HKEY_CLASSES_ROOT\txtfile\shell\open\command. Veja a imagem:

    hkroot.gif.3d3e5a11d7b2f66abdfcc40975c22323.gif

    Perceba que na coluna "Dados" há o caminho completo do notepad.exe (usando uma variável de sistema sim, mas não deixa de ser o caminho absoluto), seguido de %1. Já sabemos que é o Bloco de Notas (notepad.exe) que abrirá arquivos de texto, agora vamos entender o parâmetro.

    Eu escrevi mais acima que o caminho do arquivo a ser aberto era passado por parâmetro. É justamente isso que o "%1" faz. Essa variável armazena o caminho absoluto do arquivo que está sendo acessado, no instante do acesso. Portanto, se você clicou no arquivo documento001.txt e ele está em C:\docs\, esta variável conterá o valor C:\docs\documento001.txt. Isso informa ao Bloco de Notas onde está o arquivo.

    Agora que já sabemos o que é e como funciona a extensão, vamos aos riscos.

    Um arquivo executável precisa ter uma extensão de executável para ser executado. As extensões mais comuns de arquivos executáveis são: EXE, COM, BAT, VBS, MSI, SCR, arquivos do Office (porque podem conter macros, que são executáveis).

    Um vírus, obrigatoriamente, tem que ter uma dessas extensões. Ou seja, ele tem que ser um executável.

    O problema é que há certos disfarces utilizados pelos disseminadores de vírus. Um deles é colocar um nome de arquivo do tipo: "arquivo.jpg .exe". Assim mesmo, com vários espaços entre o .jpg e o .exe. A extensão deste arquivo de exemplo é .EXE e ele será executado como tal! Não é .jpg! O texto ".jpg" neste caso faz parte do nome do arquivo e não da extensão. A "técnica" de colocar espaços é para que os programas de email e webmail identifiquem um nome muito grande e exibam reticências após o .jpg, dando a impressão que é um arquivo de imagem.

    Detalhe que o ícone de um executável pode ser facilmente alterado para o ícone de uma imagem, o que aumenta as chances da vítima de ser enganada.

    Os vírus são programas. Logo, repito, são executáveis. Um arquivo de áudio puro, por exemplo, não pode ser vírus! A extensão .mp3 estaria associada ao Windows Media Player, ou Winamp, ou qualquer outro. Esses software não executam rotinas de executáveis. Só entendem fluxo de mídia, portanto, não executam as rotinas virais diretamente. Mas eles podem conter falhas que sejam exploradas através de payloads maliciosos de arquivos de mídia ou playlists (como os .m3u).

    Tenha certeza da extensão do arquivo e de sua procedência, e estará praticamente livre de ser infectado por um vírus anexo à um e-mail ou disponível para download. Mas lembre-se que os arquivos podem também estar zipados (.ZIP) ou compactados com outro compactador (RAR, LZIP, GZIP, LHA, JAR, etc). Dentro deles é que você deve examinar a extensão do arquivo.


    Revisão: Leandro Fróes
     Share


    User Feedback

    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.
    Note: Your post will require moderator approval before it will be visible.

    Guest

    • This will not be shown to other users.
    • Add a review...

      ×   Pasted as rich text.   Paste as plain text instead

        Only 75 emoji are allowed.

      ×   Your link has been automatically embedded.   Display as a link instead

      ×   Your previous content has been restored.   Clear editor

      ×   You cannot paste images directly. Upload or insert images from URL.


  • Similar Content

    • By Bruna Chieco
      O Microsoft Threat Intelligence Center identificou atividades do agente de ameaças Nobelium em conta de um representante de suporte ao cliente. Segundo os pesquisadores, o ataque envolveu invasão de senha e ataques de força bruta a partir da implantação de um malware para roubo de informações. Depois disso, os atacantes usaram as informações para lançar ataques altamente direcionados como parte de uma campanha mais ampla. 
      A Microsoft informa que a maioria dos alvos não foi comprometida com sucesso, mas todos os clientes comprometidos ou visados estão sendo contatados por meio de seu processo de notificação. "Esta atividade foi direcionada a clientes específicos, principalmente empresas de TI (57%), seguido pelo governo (20%), e porcentagens menores para organizações não governamentais e think tanks, bem como serviços financeiros", dizem os pesquisadores. 
      Os alvos estão especialmente localizados nos EUA (45%), seguido por 10% no Reino Unido, e números menores da Alemanha e Canadá. Ao todo, 36 países foram visados, diz a Microsoft. "A investigação está em andamento, mas podemos confirmar que nossos agentes de suporte estão configurados com o conjunto mínimo de permissões necessárias como parte de nossa abordagem de “acesso menos privilegiado” Zero Trust [Modelo e Estrutura de Segurança de Confiança Zero da Microsoft]". 
    • By Bruna Chieco
      Os operadores do SolarMarker estão usando envenenamento de Search Engine Optimization (SEO) para encher milhares de PDFs com dezenas de milhares de páginas cheias de palavras-chave e links que visam fazer redirecionamentos que levam ao malware. O SolarMarker é um malware de backdoor que rouba dados e credenciais dos navegadores.
      Segundo a Microsoft Security Intelligence, o ataque funciona usando documentos PDF projetados para classificação nos resultados da pesquisa. Para conseguir isso, os invasores preencheram esses documentos com mais de 10 páginas de palavras-chave em uma ampla variedade de tópicos, desde “formulário de seguro” e “aceitação de contrato” a “como ingressar no SQL” e “respostas matemáticas”.
      Os pesquisadores observaram que esses invasores usaram o Google Sites para hospedar esses documentos. Em campanhas recentes, os atacantes passaram a usar principalmente o Amazon Web Services e o Strikingly. 
      Quando abertos, os PDFs solicitam que os usuários baixem um arquivo .doc ou uma versão .pdf das informações desejadas. Os usuários que clicam nos links são redirecionados por 5 a 7 sites com TLDs como .site, .tk e .ga.
      Os pesquisadores dizem ainda que após vários redirecionamentos, os usuários chegam a um site controlado pelo invasor, que imita o Google Drive, e são solicitados a baixar o arquivo, que normalmente é o malware SolarMarker/Jupyter. Também foram vistos arquivos aleatórios sendo baixados em uma tática de evasão de detecção/análise.
    • By Bruna Chieco
      O Siloscape é o primeiro malware que tem como alvo os contêineres do Windows – tecnologia para empacotamento e execução de aplicativos. Segundo o ThreatPost, o malware implanta backdoors e nós de invasão para obter credenciais de usuários.
      A campanha em andamento perfura os clusters do Kubernetes – sistema de orquestração de contêineres open-source – para a implantação de backdoors, permitindo que os invasores roubem dados e credenciais do usuário ou sequestrem bancos de dados inteiros hospedados em um cluster.
      Segundo a reportagem, o malware foi descoberto pelo pesquisador de segurança da Unidade 42, Daniel Prizmant, que o apelidou de Siloscape, ou "Fuga do Silo". O malware explora vulnerabilidades conhecidas em servidores da web e bancos de dados para comprometer os nós do Kubernetes e os clusters de backdoor. 
      Prizmant fez um trabalho de engenharia reversa para conseguir se conectar ao servidor de comando e controle (C2) do Siloscape, onde descobriu que estava hospedando um total de 313 usuários. Isso implica que o Siloscape é uma pequena parte de uma campanha mais ampla, observou ele. Prizmant destaca que o Siloscape é um malware fortemente ofuscado. 
      Os pesquisadores da Unidade 42 identificaram 23 vítimas do Siloscape e disseram que as evidências indicam que a campanha foi lançada há mais de um ano, podendo ter iniciado em janeiro de 2020. 
      A recomendação é que os usuários sigam o conselho da Microsoft para não usar contêineres do Windows como um recurso de segurança. Em vez disso, a Microsoft recomenda o uso estritamente de contêineres Hyper-V para qualquer coisa que dependa da conteinerização como limite de segurança. 
    • By Bruna Chieco
      Uma versão falsa do aplicativo de desktop remoto AnyDesk contendo um cavalo de Troia (trojan) apareceu em meio aos anúncios dos resultados de pesquisa do Google. A empresa de segurança CrowdStrike descobriu que a campanha está ativa desde abril e aparentemente superou a própria propaganda oficial do AnyDesk no Google.
      "O uso malicioso do Google Ads é uma maneira eficaz e inteligente de obter implantação em massa de shells, pois fornece ao agente da ameaça a capacidade de escolher livremente seus alvos de interesse", diz a empresa de segurança. "Além de direcionar ferramentas como AnyDesk ou outras ferramentas administrativas, o ator da ameaça pode direcionar usuários privilegiados/administrativos de uma maneira única". 
      Por esse motivo, a equipe CrowdStrike notificou o Google sobre a atividade observada para que tomassem medidas contra a campanha de malvertising – anúncio publicitário online geralmente usado para espalhar malware na Internet – e, aparentemente, o Google rapidamente tomou as medidas adequadas, já que o anúncio não está mais sendo veiculado, segundo a empresa.
      Os criminosos por trás do anúncio malicioso conseguiram, antes de serem descobertos, evitar o policiamento de triagem anti-malvertising do Google. Como resultado, 40% daqueles que clicaram no anúncio começaram a instalar o malware, sendo que 20% dessas instalações incluíam “atividades práticas no teclado”, de acordo com o relatório publicado pela CrowdStrike.
      Os pesquisadores dizem ainda que as vítimas que baixaram o programa foram induzidas a executar um binário chamado AnyDeskSetup.exe. Depois de executado, o malware tenta iniciar um script do PowerShell. O arquivo executável falso foi assinado por "Digital IT Consultants Plus Inc.", em vez dos criadores legítimos "philandro Software GmbH".
      A CrowdStrike informa que sua equipe de inteligência continua investigando e, no momento, não atribui essa atividade a um agente de ameaça ou vínculo específico. No entanto, dada a popularidade do AnyDesk, essa pode ser uma campanha generalizada que afeta uma ampla gama de clientes. 
    • By Bruna Chieco
      Um novo ladrão de informações chamado Panda Stealer, entregue por meio de e-mails de spam, foi identificado pela Trend Micro no início de abril. Os e-mails normalmente se apresentam como solicitações de orçamento comercial para atrair vítimas para a abertura de arquivos Excel maliciosos. Com base na telemetria da empresa de segurança, Estados Unidos, Austrália, Japão e Alemanha foram os países mais afetados em onda recente do spam. 
      Em uma das cadeias de infecção, um anexo .XLSM contém macros que baixam um carregador, que baixa e executa o ladrão principal. Outra cadeia de infecção envolve um arquivo .XLS anexado contendo uma fórmula do Excel que utiliza um comando do PowerShell para acessar paste.ee, uma alternativa do Pastebin, que acessa um segundo comando criptografado do PowerShell.
      Depois de instalado, o Panda Stealer pode coletar detalhes como chaves privadas e registros de transações anteriores de várias carteiras de moeda digital de sua vítima, incluindo Dash, Bytecoin, Litecoin e Ethereum. Além de ter como alvo carteiras de criptomoedas, ele pode roubar credenciais de outros aplicativos, como NordVPN, Telegram, Discord e Steam. O Panda Stealer também é capaz de fazer capturas de tela do computador infectado e exfiltrar dados de navegadores como cookies, senhas e cartões.
      O Panda Stealer é uma variante do Collector Stealer, que foi vendido em alguns clandestinos e em um canal do Telegram. Os pesquisadores encontraram ainda 264 arquivos semelhantes ao Panda Stealer no VirusTotal. Mais de 140 servidores C&C e mais de 10 sites de download foram usados por essas amostras. Alguns dos sites de download eram do Discord, contendo arquivos com nomes como build.exe, indicando que os agentes de ameaças podem estar usando o Discord para compartilhar a compilação do Panda Stealer.
×
×
  • Create New...