O malware de macro voltou com o advento de táticas sofisticadas de engenharia social e a popularidade dos programas de macro. As macros do Microsoft Office, em particular, são um alvo atraente para os cibercriminosos devido à enorme base de usuários do MS Office.
O malware de macro geralmente aproveita a programação do Visual Basic for Applications (VBA) nas macros do Microsoft Office para proliferar vírus, worms e outras formas de malware, representando um risco significativo para a segurança corporativa.
Como funciona o malware de macro
Uma macro (abreviação de "macroinstrução", literalmente "comando de capital" do grego makros: "grande") é uma cadeia de comandos que informa aplicativos como Excel e Word para executar ações específicas. As macros agrupam várias instruções menores em um comando e as executam juntas. Isso melhora a funcionalidade do aplicativo acelerando processos recorrentes.
Como as macros são programas, como qualquer outro programa, elas podem ser comprometidas por autores de malware. Os vírus de macro são escritos na mesma linguagem de macro usada em programas de software, incluindo Microsoft Word ou Excel. Em um ataque de malware de macro, os cibercriminosos costumam criar códigos maliciosos e incorporá-los em macros de documentos que são distribuídos como anexos em e-mails de phishing. Depois que a vítima abre o anexo, as macros que ele contém podem ser executadas e o malware começa a infectar todos os arquivos abertos com o Microsoft Office. Essa capacidade de se espalhar rapidamente é um dos principais riscos do malware de macro.
Práticas recomendadas de proteção contra malware de macro
Os vírus de macro podem invocar funções maliciosas, como modificar o conteúdo de documentos de texto ou excluir arquivos. O malware Emotet também costuma usar macros para obter acesso à rede. Na próxima etapa, ele carrega módulos adicionais, como Trojans bancários, ladrões de senhas ou ransomware. Alguns vírus de macro também acessam as contas de e-mail da vítima e enviam cópias dos arquivos infectados para todos os contatos, que, por sua vez, costumam abrir esses arquivos, pois vêm de uma fonte confiável.
Se as macros em um arquivo do Microsoft Office não forem executadas, o malware não poderá infectar o dispositivo. O maior desafio para evitar infecções por malware de macro está na identificação correta de e-mails de phishing. Deve-se ter cuidado com os seguintes pontos:
- E-mails de remetentes desconhecidos
- E-mails com faturas ou informações supostamente confidenciais anexadas
- Documentos que fornecem uma visualização antes que as macros sejam ativadas
- Documentos cujos processos de macro parecem suspeitos
A melhor maneira de eliminar a ameaça de malware de macro é reduzir a interação entre o malware e um dispositivo. As organizações devem usar uma combinação das seguintes técnicas para fortalecer suas defesas contra ataques de malware de macro.
Elimine a ameaça de malware de macro
1. Uso de um filtro de spam/lixo e proteção contra phishing
Quanto menos e-mails de phishing chegarem à caixa de entrada, menor será a chance de um ataque de malware de macro. Além do filtro de spam clássico, existem tecnologias especiais de proteção contra phishing que também podem detectar ataques sofisticados de spear phishing com base no aprendizado de máquina. Estas soluções aprendem o comportamento normal de comunicação dentro de uma empresa e soam o alarme em caso de anomalias.
2. Usando um programa antivírus forte
O software antivírus pode enviar um alerta quando um usuário tenta abrir um link malicioso ou baixar um arquivo suspeito.
3. Anexos de remetentes desconhecidos
Se os usuários não conhecerem o remetente de um e-mail, eles não devem abrir anexos, mesmo que o e-mail contenha informações pessoais ou afirme que o e-mail é uma conta não paga.
4. Anexos em e-mails suspeitos de remetentes conhecidos
Ao inverter o código do arquivo malicioso, os pesquisadores de segurança podem decodificar os dados criptografados armazenados pela amostra, determinar a lógica do domínio do arquivo e revelar outros recursos do arquivo não revelados durante a análise comportamental. A reversão manual do código requer ferramentas de análise de malware, como depuradores e desmontadores.
5. Verifique antes da execução quais processos uma macro controla
Se o comando de macro parece executar ações maliciosas, as macros não devem ser habilitadas. Como muitos usuários estão familiarizados com o termo malware de macro, mas podem não saber como identificá-lo, as empresas também devem educar seus funcionários por meio de treinamentos regulares sobre como reconhecer possíveis ameaças, especialmente na área de engenharia social. O aumento da conscientização do usuário sobre os perigos dos vírus de macro ajuda a fortalecer significativamente a segurança corporativa e a minimizar ataques bem-sucedidos de malware de macro.
[asterisco=6]