Sistemas operacionais

Por Paulo Alves, para o TechTudo


Um novo ataque hacker explora uma falha de segurança na função de macros do Excel para infectar computadores Windows com o malware ServHelper. A ameaça existe desde novembro de 2018, mas foi descoberta apenas em janeiro de 2019. Segundo pesquisadores da firma Deep Instinct, a distribuição dessa vez se dá por meio e-mails com uma planilha infectada anexada. Ao executar o arquivo no PC, o código coloca em ação uma série de mecanismos genuínos do sistema da Microsoft para poder instalar softwares fraudulentos sem chamar atenção do antivírus.

A vulnerabilidade vem sendo explorada pelo grupo conhecido como TA505. Especula-se que, assim como ocorreu no ataque do ServHelper no começo do ano, os criminosos tenham como alvo, principalmente, redes de computadores empresariais — macros são recursos muito usados em planilhas avançadas. Ainda não se sabe quantas pessoas teriam sido afetadas até o momento.

Malware ServHelper tem como alvo usuários de macros no Excel — Foto: Carolina Ochsendorf/TechTudo Malware ServHelper tem como alvo usuários de macros no Excel — Foto: Carolina Ochsendorf/TechTudo

Malware ServHelper tem como alvo usuários de macros no Excel — Foto: Carolina Ochsendorf/TechTudo

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

O malware ServHelper teve duas versões na primeira vez que foi identificado, no início de 2019. Uma delas era responsável por criar uma ponte entre o computador infectado e o do criminoso por meio da função de acesso remoto. A partir daí, o hacker poderia roubar dados da máquina e sequestrar a seção do navegador para potencialmente invadir contas online.

Outra variante se comportava como um downloader. Uma vez instalado no PC do usuário, tem a tarefa de facilitar a transferência de outros arquivos perigosos destinados aos mais variados tipos de ataques.

A versão identificada pelos especialistas Deep Instinct se parece mais com a segunda, porém traz algumas particularidades. Segundo o relatório da empresa de segurança, o ataque tira proveito do sistema de macros 4.0 do Excel e passa despercebido por usar DLLs legítimas do Windows (arquivos do sistema que executam ações definidas, e podem ser executados ao mesmo tempo por programas diferentes). Dessa forma, o malware seria capaz de baixar programas maliciosos para o PC sem ser detectado por programas antivírus.

Como se proteger

Embora a campanha do grupo hacker TA505 tenha foco em empresas, todo usuário deve ficar atento. O arquivo Excel comprometido tem o formato XLM e costuma chegar em anexos de e-mail. Caso receba algo suspeito na caixa de entrada de um endereço desconhecido, é importante duvidar desse tipo de material e checar a veracidade da mensagem com o remetente antes de abrir o arquivo no PC.

Além disso, é importante deixar de lado as macros do Excel e optar pela migração para aplicações no formato VBA: baseadas na linguagem mais moderna Visual Basic, elas são mais seguras e oferecem funções ainda mais avançadas para enriquecer planilhas profissionais. A própria Microsoft recomenda a migração, e auxilia na incrementação do VBA para que ele realize as mesmas funções que as macros.

Como excluir todas as linhas em branco no Excel de uma vez

Como excluir todas as linhas em branco no Excel de uma vez

Mais do TechTudo