Amaral & Monteiro - Advogados Associados

Ataque a hotéis do Brasil começa em arquivos ODT

18 DE JULHO DE 2022

Ataque a hotéis do Brasil começa em arquivos ODT

A Wolf Security, divisão de segurança da HP, publicou um alerta detalhando uma campanha em andamento contra hotéis brasileiros: os vetores são mensagens de e-mail em português contendo arquivos de texto OpenDocument (.odt, ou OpenDocument) para distribuir malware. O “.odt” é um formato de arquivo aberto e independente de fornecedor, compatível com vários pacotes de produtividade de escritório incluindo Microsoft Office, LibreOffice e Apache OpenOffice.

Segundo o relatório, “é interessante ver arquivos OpenDocument sendo usados ??para distribuir malware, porque raramente vemos malware que usa esse formato de arquivo. Surpreendentemente, o documento usado na campanha é mal detectado pelos scanners antivírus, com uma taxa de detecção de 0% no VirusTotal a partir de 7 de julho”.

As mensagens enviadas aos hotéis contêm falsas solicitações de reserva. Se o usuário abrir o documento, será exibido um prompt perguntando se os campos com referências a outros arquivos devem ser atualizados. Caso ele responda sim, é aberta uma planilha Excel. Ao contrário de muitos documentos maliciosos, a análise do arquivo OpenDocument não revela macros ocultas. No entanto, o documento faz referência a objetos OLE (Object Linking and Embedding) hospedados remotamente. O documento faz referência a 20 documentos hospedados no mesmo domínio, webnar[.]info. Além desse domínio, foi utilizado “www.unimed-corporated[.]com”.

Ao abrir o documento, essas referências são baixadas e abertas. Com base na análise da Wolf Security, o mesmo documento é sempre baixado e não contém código de macro. No entanto, o documento baixado contém dez planilhas do Excel incorporadas. Se o usuário optar por habilitar macros, cada um deles será aberto e perguntará ao usuário se as macros devem ser ativadas.

Os documentos enviados têm os seguintes nomes e hashes:

Relação de Hospedes HPLUS.odt
74d8bc5023f8d56e5b9fb46a5da5f1ce7e3e04826ca543274d7f6205866490b9

CNPJ – HPLUS SISTEMA DE ENSINO LTDA.odt
b13ce271e58dff54bccf92dbccc17414af168efc2d47d44554a883ca0b2e8e08

Fonte: Ciso Advisor