Uma velha forma de disfarce de malware surgiu recentemente em vários países de língua espanhola em todo o mundo. Os usuários observam vários casos de anexos de e-mail com extensões de arquivo falsificadas, que parecem ser coin miner trojans.
Surto massivo de falsificação de extensões em spam de e-mail
Spam de e-mail é uma forma de propagação de malware que se tornou muito popular no início da década atual. Também foi usado anteriormente, mas com uma escala muito menor. Essa maneira de se espalhar pode atender a diferentes necessidades – desde spam massivo sem seleção de alvo até spear phishing contra os funcionários da corporação. Nas práticas modernas, spam de e-mail geralmente contém algo que faz a vítima acreditar na legitimidade desta carta. Histórico semelhante ao usado pela FedEx, algumas palavras padronizadas de rotina sobre a entrega recebida – e pronto – o usuário acredita em você. Depois de ganhar sua confiança, eles tentarão induzi-lo a seguir o link, ou abrindo o arquivo anexado – o último geralmente contém malware. O antigo, no entanto, pode levar a vítima à página de phishing, ou para o site de exploração, onde criminosos tentarão instalar malware.
Por isso, se anexando o malware não era algo novo – qual é a razão para se perguntar sobre a nova onda? Centenas deles acontecem todos os dias, então eles não parecem algo que mereça atenção. A peculiaridade desses ataques é que eles aplicam o uso de técnicas de falsificação de extensão para disfarçar o arquivo anexado. Essa abordagem não era vista há muito tempo – mas apareceu, de novo.
O que é falsificação de extensão?
A falsificação de extensão é um truque com nomes de arquivos que altera visualmente o formato do arquivo. É baseado em Configurações padrão do Windows de exibição de extensão de arquivo. Por padrão, você vê apenas os nomes dos arquivos – sem extensões. Quando você visualiza a pasta aberta no modo de exibição de lista, você provavelmente não conseguiria ver os ícones dos arquivos. Portanto, você pode adicionar a extensão desejada ao final do seu arquivo, mas na verdade deixando-o inalterado.
Por exemplo, você pode criar o arquivo de script em lote e nomeá-lo como “smoking-cat.png.bat”. Os usuários verão isso como “smoking-cat.png”, mas na verdade será o arquivo em lote que será executado assim que você tentar abri-lo. Além disso, usuários com pouca habilidade podem facilmente perder a segunda extensão, pensando que o primeiro é original. Esse truque é muito antigo, mas ainda eficaz – especialmente com as atualizações visuais mais recentes do Windows.
Quem está sob ataque?
A maioria dos casos assistidos aparece em países de língua espanhola. Usuários de México, Chile, Equador e, exatamente, Espanha relatou o aparecimento de e-mails rotineiramente com arquivos anexados. Este último tinha a nomenclatura como “Confiança na entrega do material ].xlsx.exe ou “currículos info socioeco.xlsx.exe”. Como você pode ver, a falsificação de extensão aí tem sua forma mais fácil – aquele que você pode descobrir apenas vendo as informações detalhadas sobre o arquivo. No entanto, as vítimas foram enganadas pelos nomes dos arquivos – eles eram muito parecidos com os documentos com os quais você trabalha todos os dias.
Nesses arquivos, o vírus do minerador de moedas está se escondendo. Quando você está tentando abrir este arquivo, pensando que é legítimo, você não verá efeitos. Mas no fundo, malware inicia seu trabalho desagradável. Mineiros de moedas, como você pode supor pelo nome, explore seu hardware para minerar criptomoedas. Ao contrário dos mineradores legítimos que você pode instalar, eles não permitem definir quanta energia de hardware eles podem usar. Você verá sua CPU e GPU sobrecarregadas, então o PC dificilmente funcionará.
Como evitar falsificação de extensões e spam de e-mail?
Não há muito que você possa fazer sobre o spam exato de e-mail. O envio por correio será possível até que você tenha uma conta de e-mail ativa. No entanto, você pode fazer muito para tornar o spam muito menos relevante e, portanto, menos confiável.
Extensão spoofing é muito mais fácil de prevenir. Existem técnicas que permitem aos criminosos mascarar o arquivo de uma forma mais confiável, mas eles raramente são usados hoje em dia. A maioria dos casos pode ser facilmente espelhada com simples diligência.
