Últimas

O despertar do LNK: cibercriminosos substituem macros por arquivos de atalho para acessar PCs corporativos

Relatório da HP Wolf Security mostra as mais recentes técnicas e iscas de phishing que colocam as empresas em risco

A HP Inc. (NYSE: HPQ) divulga seu relatório trimestral Threat Insights, que revela que uma leva de cibercriminosos distribuidores de famílias de malware – incluindo QakBot, IceID, Emotet e RedLine Stealer – está aderindo a arquivos de atalho (LNK) para enviar malwares. Esses atalhos estão substituindo as macros do Office – que passam a vir bloqueadas na configuração padrão – como forma de os invasores conseguirem entrar nas redes, enganando os usuários para que infectem seus PCs com o malware. Esse acesso pode ser usado para roubar dados valiosos das empresas ou pode ser vendido para grupos de ransomware, levando a violações de larga escala que podem paralisar operações e gerar custos substanciais.

O HP Wolf Security Threat Insights Report – que apresenta análises de ataques cibernéticos no mundo – mostra um aumento de 11% nos arquivos de dados contendo malware, inclusive arquivos LNK. Os invasores muitas vezes anexam documentos compactados (zip) para se esquivarem dos antivírus de e-mail. A equipe também identificou kits para criação de malware em LNK disponíveis para compra em fóruns de hackers, o que torna fácil para que o cibercrime adote essa técnica de execução de código “livre de macro”, passando a criar arquivos de atalho armamentizados e a disseminá-los nas empresas.

“Como as macros baixadas da web estão vindo bloqueadas na configuração padrão do Office, estamos de olho em métodos alternativos de execução que estão sendo testados por cibercriminosos. Abrir um atalho ou arquivo HTML pode parecer inofensivo para um funcionário, mas pode resultar em um grande risco para a empresa”, explica Alex Holland, analista sênior de malware da equipe de pesquisa HP Wolf Security da HP Inc. “As organizações devem tomar medidas para estarem protegidas contra técnicas que estão ganhando a preferência dos invasores, senão vão ficar expostas conforme forem se difundindo. Recomendamos o bloqueio imediato de arquivos de atalho recebidos como anexos de e-mail ou baixados da web”.

Ao isolar ameaças que escaparam das ferramentas de detecção em PCs, a HP Wolf Security obtém uma visão específica das mais recentes técnicas usadas por criminosos cibernéticos. Além do aumento nos arquivos LNK, a equipe de pesquisa destaca os seguintes achados:

  • Contrabando de HTML atinge massa crítica – A HP identificou diversas campanhas de phishing em que e-mails se passavam por serviços regionais de correio ou – conforme previsto pela HP – por grandes eventos, como a Expo 2023 em Doha (que vai atrair mais de 3 milhões de participantes de todo o mundo), usando o contrabando de HTML para entregar malware. Com essa técnica, tipos perigosos de arquivo que seriam bloqueados pelos gateways de e-mail podem acessar as organizações e ocasionar infecções de malware.
  • Invasores exploram o ponto cego criado pela vulnerabilidade de dia zero Follina (CVE-2022-30190) – Após a recente revelação da vulnerabilidade de dia zero no Microsoft Support Diagnostic Tool (MSDT) – apelidada de “Follina” –, muitos agentes de ameaças a exploraram para distribuir QakBot, Agent Tesla e a ferramenta de acesso remoto (RAT) Remcos antes que um patch estivesse disponível. A vulnerabilidade é particularmente perigosa porque permite que os criminosos rodem códigos arbitrários para implantar o malware e requer pouca interação de usuário para explorar as máquinas-alvo.
  • Nova técnica de execução faz código shell oculto em documentos espalhar malware SVCReady – A HP descobriu uma campanha que distribuía uma nova família de malware chamada SVCReady, notável pela forma incomum com que é inserido nos PCs – via código shell oculto nas propriedades de documentos do Office. O malware – criado principalmente para baixar códigos maliciosos secundários a fim de infectar computadores, coletar informações do sistema e fazer capturas de tela – ainda está em uma fase inicial de desenvolvimento e foi atualizado diversas vezes nos últimos meses.

Os achados da pesquisa são baseados em dados de milhões de endpoints que rodam o HP Wolf Security. Os especialistas da companhia realizam tarefas arriscadas, como abrir anexos de e-mail, baixar arquivos e clicar em links, em micromáquinas virtuais isoladas (micro-VMs) para proteger os usuários, captando rastros detalhados de tentativas de infecção. A tecnologia de isolamento de aplicativos da HP reduz ameaças e fornece insights sobre novas técnicas de intrusão e comportamentos de agentes perigosos. Até o momento, clientes HP já clicaram em mais de 18 bilhões de anexos de e-mail, páginas na internet e arquivos baixados sem registros de violação.

Outras revelações importantes do relatório incluem:

  • 14% dos e-mails maliciosos captados pelo HP Wolf Security driblaram pelo menos um escaneamento pelo gateway de e-mail.
  • Agentes de ameaça usaram 593 famílias diferentes de malware em suas tentativas de infectar organizações, contra 545 no trimestre anterior.
  • Os invasores estão, cada vez mais, colocando arquivos maliciosos em planilhas para tentar fugir da detecção, a equipe de pesquisa registrou um aumento de 11% nas ameaças desse tipo.
  • 69% dos malware detectados foram entregues via e-mail, enquanto os downloads na internet foram responsáveis por 17%.
  • As iscas de phishing mais comuns foram transações comerciais, tais como “pedido”, “pagamento”, “compra”, “requisição” e “nota fiscal”.

“Os invasores estão testando novos formatos de arquivo malicioso ou exploits com rapidez para evitar a detecção, então as organizações precisam se preparar para o inesperado. Isso significa adotar uma abordagem de arquitetura à segurança de endpoint – por exemplo, conter os vetores mais comuns de investidas, como e-mails, navegadores e downloads – para que as ameaças sejam isoladas independentemente de poderem ser detectadas”, comenta o Dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc. “Isso vai eliminar a superfície de ataque para categorias inteiras, ao mesmo tempo em que vai dar tempo para a organização coordenar ciclos de patches com segurança e sem paralisar os serviços”.

Sobre os dados

Esses dados foram coletados anonimamente nas máquinas virtuais de clientes HP Wolf Security entre abril e junho de 2022.  

Sobre a HP Wolf Security

HP Wolf Security é uma nova linhagem[1] de segurança de endpoint. O portfólio da HP de segurança no nível do hardware e de serviços de segurança focados no endpoint é projetado para ajudar as organizações a proteger PCs, impressoras e pessoas dos predadores cibernéticos que os rondam. A HP Wolf Security proporciona proteção abrangente e resiliência de endpoint que começam no nível do hardware e se estendem a todos os software e serviços. Acesse https://www.hp.com/uk-en/security/endpoint-security-solutions.html.

Sobre HP

HP Inc. é uma empresa de tecnologia que acredita que uma ideia bem pensada tem o poder de mudar o mundo. E seu portfólio de produtos e serviços de sistemas pessoais, impressoras e soluções de impressão 3D ajudam a dar vida a essas ideias. Visite http://www.hp.com.    

Nenhum comentário