A guerra cibernética continua a escalar e, desta vez, o alvo são as plataformas de produtividade mais usadas no mundo. A Equipa de Resposta a Emergências Informáticas da Ucrânia (CERT-UA) emitiu um alerta severo sobre uma nova campanha de hackers russos que está a explorar ativamente a vulnerabilidade CVE-2026-21509 em várias versões do Microsoft Office.
Apenas três dias após a gigante tecnológica ter lançado uma atualização de segurança de emergência, a 26 de janeiro, classificando esta brecha como uma falha "zero-day" ativamente explorada, os atacantes não perderam tempo. Foram detetados ficheiros DOC maliciosos em circulação, concebidos para comprometer sistemas governamentais e organizações na União Europeia.
Ataques rápidos e sofisticados
Segundo as investigações, esta campanha foi atribuída ao grupo APT28, também conhecido como "Fancy Bear", uma entidade de ciberespionagem associada aos serviços de inteligência militar da Rússia (GRU). Os ataques utilizam documentos falsos com temas sensíveis, como consultas da UE ou comunicações do Centro Hidrometeorológico Ucraniano, para enganar as vítimas.
O método de infeção é técnico e complexo. Ao abrir o documento armadilhado, é ativada uma cadeia de execução baseada em WebDAV que instala malware através de "COM hijacking". O processo envolve o carregamento de uma DLL maliciosa e a execução de código escondido num ficheiro de imagem aparentemente inofensivo (SplashScreen.png), culminando na criação de uma tarefa agendada disfarçada de "OneDriveHealth".
Esta falha permite que o malware, identificado como o framework COVENANT, ganhe persistência no sistema. Curiosamente, o grupo utiliza o serviço de armazenamento cloud "Filen" (filen.io) para as suas operações de comando e controlo, dificultando a deteção por parte das ferramentas de segurança tradicionais.
Como te podes proteger
A ameaça não se limita à Ucrânia; foram identificados documentos dirigidos a várias organizações sediadas na União Europeia, o que coloca um vasto número de utilizadores em risco. A eficácia do ataque reside na rapidez com que os hackers adaptaram as suas ferramentas após a revelação da vulnerabilidade.
Para mitigar este perigo, é crucial que os administradores de sistemas e utilizadores domésticos apliquem imediatamente as atualizações de segurança mais recentes para o Microsoft Office 2016, 2019, LTSC 2021, LTSC 2024 e Microsoft 365 Apps. Para versões a partir de 2021, é necessário reiniciar as aplicações para que a correção seja efetiva.
Caso a atualização imediata não seja possível, a Microsoft recomenda a ativação do modo "Protected View" no Defender, que bloqueia ficheiros Office maliciosos provenientes da internet, conforme detalhado no relatório oficial do CERT-UA.
Nenhum comentário
Seja o primeiro!