![Imagem ilustrativa do tema segurança, com dois cadeados formados por pixels](https://i0.wp.com/files.tecnoblog.net/wp-content/uploads/2023/01/seguranca-capa-3-1060x596.png?resize=1060%2C596&ssl=1)
Uma nova técnica de ataque engana usuários ao apresentar erros falsos no Google Chrome, no Word e no OneDrive. Ao seguir as instruções para corrigir o suposto problema, o usuário executa um script no Windows que abre as portas para o programa malicioso.
A ação foi identificada por analistas da empresa de cibersegurança Proofpoint. Eles descrevem formas diferentes de ataque, cada uma delas simulando o erro em um programa. Em comum, elas levam o usuário a abrir o PowerShell em modo de administrador e executar códigos que baixam o malware.
![Janela de erro falso no Chrome, com instruções para copiar e executar código](https://i0.wp.com/files.tecnoblog.net/wp-content/uploads/2024/06/imagem-chrome-malware.png?resize=624%2C424&ssl=1)
Erro falso no Chrome abre portas para malware espião
O primeiro método exibe uma janela de erro no Google Chrome em um site legítimo, mas comprometido. Ela apresenta instruções para “consertar” o problema: clicar em um botão para copiar um código, abrir o PowerShell e executar o comando copiado.
Caso o usuário siga estes passos, o script vai limpar o cache DNS e a área de transferência, exibir outra mensagem e baixar mais um código de PowerShell, que será executado na memória. Após uma série de passos, três malwares são baixados: um deles é um minerador de criptomoedas, e outros dois monitoram as atividades da vítima.
Página falsa se disfarça de Word e OneDrive
Os ataques envolvendo o Word e o OneDrive, na verdade, não usam os programas. Nestes casos, os atacantes enviam um email com um arquivo HTML em anexo. Esta página simula o Word ou o OneDrive com uma mensagem de erro.
![Word falso com mensagem de erro](https://i0.wp.com/files.tecnoblog.net/wp-content/uploads/2024/06/erro-falso-malware-word-1060x588.png?resize=1060%2C588&ssl=1)
A partir daí, a ação se dá de forma semelhante: o programa instrui o usuário a copiar um código, abrir o PowerShell como administrador e colar os comandos lá. Após uma série de passos, os scripts instalam malwares como o DarkGate (usado para monitorar atividades) ou o Matanbuchus (que dá ao atacante controle sobre a máquina da vítima).
Com informações: Proofpoint, Bleeping Computer
Ataque usa erros falsos no Chrome, Word e OneDrive para instalar malware