Pesquisadores detectaram uma campanha de malware com foco no Brasil que manipula componentes legítimos do Windows, WMI (Windows Management Instrumentation) e CertUtil (um aplicativo, que dentre outras funções, permite visualizar e configurar informações de certificados), para baixar payloads.

A campanha se inicia com e-mails atribuídos aos Correios, notificando que não foi possível entregar uma encomenda e que, para obter mais informações, a vítima deve acessar o código de rastreamento, que ao ser clicado baixa um arquivo zip no computador. Depois dessa etapa, um arquivo LNK é utilizado para executar scripts do servidor de comando e controle (C&C) através do WMI. Para encobrir rastros, os atacantes usam uma cópia do CertUtil, que é armazenada em uma pasta temporária com um nome diferente.

Após uma análise do payload, os pesquisadores afirmam que se trata de um malware bancário que só é ativado caso o idioma do computador alvo esteja definido para o português, demonstrando que os possíveis alvos do ataque são o Brasil e, talvez, Portugal. Recomenda-se aos usuários ficarem atentos a emails que possam parecer suspeitos, evitando realizar o download de arquivos suspeitos e não solicitados.

Artigo originalmente publicado no aplicativo Tempest Soundbites, disponível para clientes da Tempest em versões para Android e iOS. Para obter uma credencial, fale com seu gerente de relacionamento.