E se os ficheiros de ajuda da Microsoft fossem, na realidade, uma ferramenta para propagar malware? Isso já está a acontecer, revela a Check Point. Os hackers ‘escondem’ os códigos maliciosos por detrás do software de ajuda para que os mesmos não sejam detetados pelos antivírus.
Há mais uma nova técnica para propagar malware: escondido nos ficheiros de ajuda da Microsoft.
O software com a terminação CHM (Microsoft Compiled HTML Help), que deveriam servir para auxiliar o utilizador, pode na realidade ser um cavalo de Tróia para códigos maliciosos.
O aviso é do grupo de investigação de vulnerabilidades e malware da Check Point, que salientaram a vantagem, para os hackers, da grande maioria dos antivírus não ser capaz de identificar as ameaças presentes nos ficheiros de ajuda da Microsoft.
“Os ficheiros CHM são normalmente usados como software documental e como ajuda tutorial. Já que o seu uso é muito comum, também é pouco provável que os utilizadores suspeitem desta ajuda online”, salientou Oded Vanunu, responsável pelo grupo de investigação.
Ainda segundo a mesma investigação, o tipo de códigos maliciosos escondidos nestes ficheiros de ajuda pode atuar em qualquer computador com o sistema operativo Windows Vista ou superior.
Assim, quando um utilizador ‘pede ajuda’ à Microsoft, o ficheiro infetado faz correr um pedido de descarga e execução de malware.
A investigação realizada pela Check Point levou ao download do PuTTY, um cliente de rede que permite ligações remotas, ‘abrindo’ as portas do computador a um cibercriminoso.
“Depois de analisar a amostra do malware, descobrimos que a carga útil só era detetada por um pequeníssimo número de antivírus, três em 35”, acrescentou Vanunu.
O mais perigoso, de acordo com o especialista, é que a possibilidade de manipular essa carga útil permite essa alta eficácia na ‘fuga’ aos produtos de segurança.
“A título de teste, fomos capazes de eliminar o malware URL directamente da amostra e substituí-lo por uma descarga inofensiva do programa putty.exe. Com algumas modificações adicionais, conseguimos uma amostra com uma taxa de deteção zero por parte de produtos antivírus actualizados. Este caso é apenas mais um exemplo de como os cibercriminosos utilizam uma grande variedade de técnicas para conseguir iludir o radar da detecção antivírus”, explicou Oded Vanunu.
Os hackers tentam enganar os internautas com spam e campanhas de ataque através das redes sociais, procurando levar os mais incautos a ‘sacarem’ programas muito populares e que apontem para ficheiros de ajuda infetados.
Os ficheiros com a extensão CHM são formato de ajuda proprietário, englobando páginas em código HTML e várias ferramentas de indexação e navegação.
