Últimas

Arquivos ZIP são mais comuns para a distribuição de malware e superam documentos do Office


Relatório da HP Wolf Security revela o como a combinação de arquivos compactados com contrabando de HTML está ajudando criminosos a driblar ferramentas de detecção

A HP Inc. (NYSE: HPQ) publica hoje seu relatório HP Wolf Security Threat Insights Report referente ao terceiro trimestre de 2022, que revela que formatos compactados –  como ZIP e RAR – foram os tipos de arquivos mais utilizados para a distribuição de malware, superando documentos do Office pela primeira vez em três anos. O relatório apresenta uma análise de ataques cibernéticos do mundo real, ajudando as organizações a acompanhar as mais recentes técnicas que os cibercriminosos utilizam para escapar da detecção e violar usuários no ambiente de crimes cibernéticos.

Baseada em dados de milhões de endpoints em funcionamento com o HP Wolf Security, a pesquisa descobriu que 44% dos malwares foram entregues dentro de arquivos compactados – 11% a mais do que no trimestre anterior –, contra 32% que foram entregues via documentos do Office, como os de Microsoft Word, Excel e PowerPoint.

O relatório identificou diversas campanhas combinando o uso de arquivos com novas técnicas de “contrabando de HTML” – em que os cibercriminosos inserem malwares em arquivos HTML para driblar gateways de serviços de e-mail – para, em seguida, lançar ataques.

Por exemplo, as campanhas QakBot e IceID usaram recentemente arquivos HMTL para direcionar os usuários a falsos visualizadores de documentos on-line que se passavam por aplicativos da Adobe. Então, os usuários eram instruídos a abrir um arquivo ZIP e inserir uma senha para descompactar os arquivos, que, então, implantavam o malware nos PCs.

Como o malware dentro do arquivo HTML é codificado e criptografado, a detecção pelo gateway do e-mail ou por outras ferramentas de segurança torna-se muito difícil. Assim, o invasor lança mão da engenharia social, criando uma página de internet convincente e bem desenhada para enganar as pessoas e fazê-las iniciar o ataque ao abrir o arquivo ZIP contendo malware. Em outubro, os mesmos invasores também foram flagrados usando páginas falsas do Google Drive, em um esforço contínuo para fazer os usuários abrirem os arquivos maliciosos.

“Esse tipo de arquivo é fácil de criptografar, o que ajuda os criminosos a esconder o malware e escapar de proxiessandboxes ou antivírus de e-mails. Isso dificulta a detecção de ataques, especialmente quando combinado com técnicas de contrabando de HTML. O interessante nas campanhas QakBot e IceID foi justamente o esforço empenhado para criar páginas falsas – essas campanhas foram mais convincentes do que as que já tínhamos visto antes, tornando difícil para as pessoas saberem em quais arquivos poderiam, ou não, confiar”, explica Alex Holland, analista sênior de malware da equipe de pesquisa HP Wolf Security da HP Inc.

A HP também identificou uma campanha complexa que usava uma cadeia modular de infecção com o potencial de permitir que os invasores mudassem a carga útil (payload) – com ações como spywareransomware e registro de teclas – durante a campanha ou introduzissem novos recursos, como geofencing. Isso podia habilitar o invasor a alterar suas táticas de acordo com o alvo violado. Por não incluir o malware diretamente no anexo enviado ao alvo, tornava-se mais difícil, também, para que os gateways de e-mail detectassem esse tipo de ataque.

“Conforme demonstrado, os criminosos estão constantemente mudando suas técnicas, dificultando a identificação pelas ferramentas de detecção”, comenta o dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc. “Seguindo o princípio de Confiança Zero no isolamento detalhado, as organizações podem usar a microvirtualização para se certificarem de que tarefas potencialmente maliciosas – como clicar em links ou abrir anexos maliciosos – sejam executadas em uma máquina virtual descartável, separada dos sistemas essenciais. Esse processo é completamente invisível para o usuário e retém qualquer malware, garantindo que os invasores não tenham acesso a dados sensíveis e evitando que ganhem acesso e se movimentem de outras formas.”

O HP Wolf Security realiza tarefas arriscadas, como a abertura de anexos em e-mail, download de arquivos e abertura de links em micromáquinas virtuais (micro-VMs, na sigla em inglês), para proteger os usuários, captando rastros detalhados de tentativas de infecção. A tecnologia de isolamento de aplicações da HP mitiga ameaças que podem passar despercebidas por outras ferramentas e fornece insights exclusivos sobre novas técnicas de intrusão e novos comportamentos de agentes de ameaças. Ao isolar, nos PCs, ameaças que escaparam de ferramentas de detecção, a HP Wolf Security tem uma visão específica sobre as mais recentes técnicas usadas por cibercriminosos. Até hoje, clientes HP já clicaram em mais de 18 bilhões de anexos de e-mail, páginas na internet e download de arquivos, sem violações registradas.

Sobre os dados

Os dados foram coletados anonimamente junto a máquinas virtuais de clientes da HP Wolf Security entre julho e setembro de 2022.

Sobre a HP

HP Inc. é uma empresa de tecnologia que acredita que uma ideia bem pensada tem o poder de mudar o mundo. E seu portfólio de produtos e serviços de sistemas pessoais, impressoras e soluções de impressão 3D ajudam a dar vida a essas ideias. Acesse http://www.hp.com

Sobre a HP Wolf Security

HP Wolf Security é uma nova linhagem[1]  de segurança de endpoint. O portfólio da HP de segurança no nível do hardware e de serviços de segurança focados no endpoint é projetado para ajudar as organizações a proteger PCs, impressoras e pessoas dos predadores cibernéticos que os rondam. A HP Wolf Security proporciona proteção abrangente e resiliência de endpoint que começam no nível do hardware e se estendem a todos os software e serviços. Acesse https://www.hp.com/uk-en/security/endpoint-security-solutions.html.

[1] HP Security agora é HP Wolf Security. Os recursos de segurança variam de acordo com a plataforma. Consulte o folheto informativo do produto para mais informações.

Nenhum comentário