Normalmente, quando um usu\u00e1rio tenta ler um documento do Office que foi enviado por e-mail ou baixado de um site, o Microsoft Office o abre no modo protegido. Ele faz isso usando Mark-of-the-Web (MOTW), um dos mecanismos de prote\u00e7\u00e3o padr\u00e3o do Windows. Ele marca os arquivos que apareceram no seu PC a partir da internet, para que os aplicativos conhe\u00e7am sua origem e possam chamar a aten\u00e7\u00e3o do usu\u00e1rio para um perigo potencial. No entanto, confiar cegamente na efic\u00e1cia de tal mecanismo de aviso \u00e9 provavelmente uma m\u00e1 ideia, pois, ultimamente, muitos invasores come\u00e7aram a usar m\u00e9todos para contornar o MOTW. Por exemplo, quando nossos especialistas estudaram recentemente as ferramentas do grupo BlueNoroff (que dizem ser uma parte do grupo Lazarus), descobriram que os cibercriminosos est\u00e3o empregando novos truques para enganar o sistema operacional.<\/p>\n
O mecanismo Mark-of-the-Web funciona da seguinte forma: assim que um usu\u00e1rio (ou programa) baixa um arquivo da rede, o sistema de arquivos NTFS fixa um atributo \u201cfrom the internet\u201d a ele. Mas esse atributo nem sempre \u00e9 adquirido. Quando voc\u00ea baixa um ficheiro ou pasta, todos os arquivos dentro dele recebem esse atributo. No entanto, uma pasta est\u00e1 longe de ser a \u00fanica maneira de transferir um arquivo indiretamente.<\/p>\n
Os invasores por tr\u00e1s do grupo BlueNoroff come\u00e7aram a experimentar a utiliza\u00e7\u00e3o de novos tipos de arquivo para entregar documentos maliciosos. Em algumas ocasi\u00f5es eles usaram o formato .iso, que comumente armazena imagens de discos \u00f3pticos. A outra op\u00e7\u00e3o \u00e9 um arquivo .vhd que geralmente cont\u00e9m um disco r\u00edgido virtual. Em outras palavras, eles escondem a carga real do ataque \u2013 um documento falso e um script malicioso \u2013 dentro da imagem ou unidade virtual.<\/p>\n
Uma descri\u00e7\u00e3o t\u00e9cnica mais detalhada das ferramentas e m\u00e9todos BlueNoroff atualizados, bem como indicadores de comprometimento, pode ser encontrada na publica\u00e7\u00e3o de nossos especialistas no blog Securelist<\/a>.<\/p>\n No in\u00edcio deste ano, j\u00e1 escrevemos sobre a campanha SnatchCrypto<\/a> destinada a roubar criptomoedas. Com base em v\u00e1rios sinais, nossos pesquisadores acreditam que \u00e9 o mesmo grupo BlueNoroff que est\u00e1 por tr\u00e1s disso. A atividade observada hoje tamb\u00e9m visa principalmente a obten\u00e7\u00e3o de ganhos financeiros. Na verdade, o est\u00e1gio final do ataque permaneceu o mesmo \u2013 os criminosos instalam um backdoor no computador infectado.<\/p>\n O grupo BlueNoroff registrou muitos dom\u00ednios que imitam empresas de capital de risco e de investimentos, bem como grandes bancos. A julgar pelos nomes dos bancos, bem como pelos documentos falsos usados \u200b\u200bpelos invasores, eles est\u00e3o interessados \u200b\u200bprincipalmente em alvos que falam japon\u00eas. No entanto, pelo menos uma v\u00edtima do grupo foi encontrada nos Emirados \u00c1rabes Unidos. Como mostra a pr\u00e1tica, o BlueNoroff est\u00e1 interessado principalmente em neg\u00f3cios relacionados a criptomoedas, bem como em institui\u00e7\u00f5es financeiras.<\/p>\n Em primeiro lugar, vale a pena abandonar a ilus\u00e3o de que os mecanismos de prote\u00e7\u00e3o padr\u00e3o incorporados ao sistema operacional s\u00e3o suficientes para manter sua empresa segura. O mecanismo Mark-of-the-Web n\u00e3o pode proteger contra um funcion\u00e1rio abrindo um arquivo recebido da Internet e executando um script malicioso. Para que sua empresa n\u00e3o seja v\u00edtima dos ataques do BlueNororff e grupos APT similares, nossos especialistas recomendam o seguinte:<\/p>\n O grupo BlueNoroff APT adotou m\u00e9todos para contornar o mecanismo Mark-of-the-Web<\/p>\n","protected":false},"author":2581,"featured_media":20519,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655],"tags":[71,896,1519,230],"class_list":{"0":"post-20516","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"tag-apt","10":"tag-lazarus","11":"tag-office","12":"tag-windows"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/bluenoroff-mark-of-the-web\/20516\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/bluenoroff-mark-of-the-web\/25025\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/bluenoroff-mark-of-the-web\/20520\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/bluenoroff-mark-of-the-web\/10473\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/bluenoroff-mark-of-the-web\/27591\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/bluenoroff-mark-of-the-web\/25353\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/bluenoroff-mark-of-the-web\/25672\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/bluenoroff-mark-of-the-web\/28234\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/bluenoroff-mark-of-the-web\/27489\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/bluenoroff-mark-of-the-web\/34458\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/bluenoroff-mark-of-the-web\/11300\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/bluenoroff-mark-of-the-web\/46690\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/bluenoroff-mark-of-the-web\/19927\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/bluenoroff-mark-of-the-web\/29623\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/bluenoroff-mark-of-the-web\/33086\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/bluenoroff-mark-of-the-web\/28804\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/bluenoroff-mark-of-the-web\/25712\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/bluenoroff-mark-of-the-web\/31400\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/bluenoroff-mark-of-the-web\/31110\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20516","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=20516"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20516\/revisions"}],"predecessor-version":[{"id":20522,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/20516\/revisions\/20522"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/20519"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=20516"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=20516"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=20516"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Quem s\u00e3o BlueNoroff e o que eles est\u00e3o procurando<\/h2>\n
Como se manter protegido?<\/h2>\n
\n