MADRID 4 fev. (Portaltic/EP) - A Equipe de Resposta a Emergências Informáticas (CERT) da Ucrânia alertou sobre uma série de ataques cibernéticos realizados por hackers russos, aproveitando uma vulnerabilidade no Office dias depois que a Microsoft a corrigiu.
Em 26 de janeiro, a Microsoft lançou uma atualização de segurança na qual apontava o CVE-2026-21509 como uma vulnerabilidade ativamente explorada que permitia a um invasor sobrepor uma característica de segurança local e que afetava o Office.
Os ataques consistiram na distribuição de arquivos doc. maliciosos anexados a e-mails supostamente enviados pelo Comitê de Representantes Permanentes (Coreper) na Ucrânia ou que se passavam pelo Centro Hidrometeorológico da Ucrânia, que foram enviados para 60 endereços ligados ao governo ucraniano.
Embora os documentos tenham sido enviados três dias após o aviso da Microsoft, o CERT ucraniano afirmou em seu relatório que os metadados associados aos arquivos mostram que eles foram criados um dia após a atualização de segurança.
Ao abrir esses documentos maliciosos, é ativada uma cadeia de downloads que instala malware por meio da técnica conhecida como “COM hijacking” ou sequestro do Modelo de Objetos Componentes do Windows. Entre esses downloads estão uma DLL maliciosa (EhStoreShell.dll), um código shell oculto em um arquivo de imagem (SplashScreen.png) e uma tarefa agendada (OneDriveHealth).
O relatório ucraniano explicou que a execução programada da tarefa provoca o encerramento e reinício do explorer.exe, o que garante o carregamento do arquivo DLL EhStoreShell.dll, que executará o “shellcode” do arquivo de imagem, bem como o início da ferramenta de software COVENANT no computador, que utiliza armazenamento em nuvem.
O órgão ucraniano atribuiu esses ataques cibernéticos ao grupo APT28, também conhecido como Fancy Bear e Sofacy, associado à Direção Principal de Inteligência do Estado-Maior da Rússia (GRU), que também é acusado de realizar ataques cibernéticos contra organizações sediadas na União Europeia.
Por sua vez, a Microsoft adicionou uma camada de proteção adicional ao Defender, bloqueando arquivos maliciosos do Office originados na Internet, a menos que o usuário os marque como “confiáveis”.
Esta notícia foi traduzida por um tradutor automático