O despertar do LNK: cibercriminosos substituem macros por arquivos de atalho para acessar PCs corporativos
Relatório da HP Wolf
Security mostra as mais recentes técnicas e iscas de phishing que colocam as
empresas em risco
A HP Inc. (NYSE: HPQ) divulga seu
relatório trimestral Threat
Insights, que revela que uma leva de cibercriminosos distribuidores
de famílias de malware – incluindo
QakBot, IceID, Emotet e RedLine Stealer – está aderindo a arquivos de atalho
(LNK) para enviar malwares.
Esses atalhos estão substituindo as macros do Office – que passam a vir bloqueadas na configuração padrão – como forma de os
invasores conseguirem entrar nas redes, enganando os usuários para que infectem
seus PCs com o malware.
Esse acesso pode ser usado para roubar dados valiosos das empresas ou pode ser
vendido para grupos de ransomware,
levando a violações de larga escala que podem paralisar operações e gerar
custos substanciais.
O HP Wolf Security Threat Insights Report – que apresenta
análises de ataques cibernéticos no mundo – mostra um aumento de 11% nos
arquivos de dados contendo malware, inclusive arquivos LNK. Os invasores muitas
vezes anexam documentos compactados (zip) para se esquivarem dos antivírus de
e-mail. A equipe também identificou kits para criação de malware em LNK
disponíveis para compra em fóruns de hackers, o que torna fácil para que o
cibercrime adote essa técnica de execução de código “livre de macro”, passando
a criar arquivos de atalho armamentizados e a disseminá-los nas empresas.
“Como as macros baixadas da web estão
vindo bloqueadas na configuração padrão do Office, estamos de olho em métodos
alternativos de execução que estão sendo testados por cibercriminosos. Abrir um
atalho ou arquivo HTML pode parecer inofensivo para um funcionário, mas pode
resultar em um grande risco para a empresa”, explica Alex Holland, analista
sênior de malware da equipe de pesquisa HP Wolf Security da HP Inc. “As
organizações devem tomar medidas para estarem protegidas contra técnicas que
estão ganhando a preferência dos invasores, senão vão ficar expostas conforme
forem se difundindo. Recomendamos o bloqueio imediato de arquivos de atalho
recebidos como anexos de e-mail ou baixados da web”.
Ao isolar ameaças que escaparam das
ferramentas de detecção em PCs, a HP Wolf Security obtém uma visão específica
das mais recentes técnicas usadas por criminosos cibernéticos. Além do aumento
nos arquivos LNK, a equipe de pesquisa destaca os seguintes achados:
- Contrabando de HTML atinge
massa crítica – A HP identificou diversas
campanhas de phishing
em que e-mails se passavam por serviços regionais de correio ou – conforme previsto pela HP – por grandes eventos,
como a Expo 2023 em Doha (que vai atrair mais de 3 milhões de
participantes de todo o mundo), usando o contrabando de HTML para entregar
malware. Com
essa técnica, tipos perigosos de arquivo que seriam bloqueados pelos gateways de e-mail
podem acessar as organizações e ocasionar infecções de malware.
- Invasores exploram o ponto cego
criado pela vulnerabilidade de dia zero Follina (CVE-2022-30190) –
Após a recente revelação da vulnerabilidade de dia zero no Microsoft
Support Diagnostic Tool (MSDT) – apelidada de “Follina” –, muitos agentes
de ameaças a exploraram para distribuir QakBot, Agent Tesla e a ferramenta
de acesso remoto (RAT) Remcos antes que um patch estivesse disponível. A
vulnerabilidade é particularmente perigosa porque permite que os
criminosos rodem códigos arbitrários para implantar o malware e requer pouca
interação de usuário para explorar as máquinas-alvo.
- Nova técnica de execução faz
código shell oculto
em documentos espalhar malware SVCReady
– A HP descobriu uma campanha que distribuía uma nova
família de malware chamada
SVCReady, notável pela forma incomum com que é inserido nos PCs – via
código shell
oculto nas propriedades de documentos do Office. O malware – criado
principalmente para baixar códigos maliciosos secundários a fim de
infectar computadores, coletar informações do sistema e fazer capturas de
tela – ainda está em uma fase inicial de desenvolvimento e foi atualizado
diversas vezes nos últimos meses.
Os achados da pesquisa são baseados em
dados de milhões de endpoints que rodam o HP Wolf Security. Os especialistas da
companhia realizam tarefas arriscadas, como abrir anexos de e-mail, baixar
arquivos e clicar em links, em micromáquinas virtuais isoladas (micro-VMs) para
proteger os usuários, captando rastros detalhados de tentativas de infecção. A
tecnologia de isolamento de aplicativos da HP reduz ameaças e fornece insights
sobre novas técnicas de intrusão e comportamentos de agentes perigosos. Até o
momento, clientes HP já clicaram em mais de 18 bilhões de anexos de e-mail,
páginas na internet e arquivos baixados sem registros de violação.
Outras revelações importantes do
relatório incluem:
- 14% dos e-mails maliciosos
captados pelo HP Wolf Security driblaram pelo menos um escaneamento pelo
gateway de e-mail.
- Agentes de ameaça usaram 593
famílias diferentes de malware em suas tentativas de infectar
organizações, contra 545 no trimestre anterior.
- Os invasores estão, cada vez
mais, colocando arquivos maliciosos em planilhas para tentar fugir da
detecção, a equipe de pesquisa registrou um aumento de 11% nas ameaças
desse tipo.
- 69% dos malware detectados
foram entregues via e-mail, enquanto os downloads na internet foram
responsáveis por 17%.
- As iscas de phishing mais
comuns foram transações comerciais, tais como “pedido”, “pagamento”,
“compra”, “requisição” e “nota fiscal”.
“Os invasores estão testando novos
formatos de arquivo malicioso ou exploits com rapidez para evitar a detecção,
então as organizações precisam se preparar para o inesperado. Isso significa
adotar uma abordagem de arquitetura à segurança de endpoint – por exemplo,
conter os vetores mais comuns de investidas, como e-mails, navegadores e
downloads – para que as ameaças sejam isoladas independentemente de poderem ser
detectadas”, comenta o Dr. Ian Pratt, chefe global de Segurança para Sistemas
Pessoais da HP Inc. “Isso vai eliminar a superfície de ataque para categorias
inteiras, ao mesmo tempo em que vai dar tempo para a organização coordenar
ciclos de patches com segurança e sem paralisar os serviços”.
Sobre os dados
Esses dados foram coletados anonimamente
nas máquinas virtuais de clientes HP Wolf Security entre abril e junho de 2022.
Sobre a HP Wolf Security
HP Wolf Security é uma nova linhagem[1]
de segurança de endpoint. O portfólio da HP de segurança no nível do hardware e
de serviços de segurança focados no endpoint é projetado para ajudar as
organizações a proteger PCs, impressoras e pessoas dos predadores cibernéticos
que os rondam. A HP Wolf Security proporciona proteção abrangente e resiliência
de endpoint que começam no nível do hardware e se estendem a todos os software
e serviços. Acesse https://www.hp.com/uk-en/security/endpoint-security-solutions.html.
Sobre HP
HP Inc. é uma empresa de tecnologia que acredita que uma ideia bem pensada tem o poder de mudar o mundo. E seu portfólio de produtos e serviços de sistemas pessoais, impressoras e soluções de impressão 3D ajudam a dar vida a essas ideias. Visite http://www.hp.com.
Nenhum comentário