Relatório da WatchGuard: ataques de malware de JavaScript e no Microsoft Excel

A WatchGuard Technologies, empresa global em segurança e inteligência de redes, segurança Wi-Fi e autenticação multifator, anuncia o seu Internet Security Report para o segundo trimestre de 2020. Entre suas descobertas mais notáveis, o relatório mostrou que, apesar de uma redução de 8% nas detecções gerais de malware no segundo trimestre, 70% de todos os ataques envolveram malware de dia zero (variantes que contornam as assinaturas de antivírus), o que representa um aumento de 12% em relação ao trimestre anterior.
“As empresas não são as únicas que ajustaram as suas operações devido à pandemia global Covid-19 – os cibercriminosos também”, disse Corey Nachreiner, CTO da WatchGuard. “O aumento de ataques sofisticados, apesar do fato de que as detecções gerais de malware diminuíram no segundo trimestre (provavelmente devido à mudança para o trabalho remoto), mostra que os invasores estão se voltando para táticas mais evasivas, que as defesas anti-malware tradicionais baseadas em assinatura simplesmente não conseguem detectar. Todas as organizações devem priorizar a detecção de ameaças baseada em comportamento, sandboxing baseado em Nuvem e um conjunto em camadas de serviços de segurança para proteger tanto a rede central quanto as forças de trabalho remotas.”

O Internet Security Report da WatchGuard fornece uma visão detalhada das tendências mais recentes de malware e ataques de rede, pesquisas aprofundadas sobre ameaças e melhores práticas de segurança recomendadas para que as organizações possam se proteger melhor e proteger também seus parceiros e clientes. As principais conclusões do segundo trimestre de 2020 incluem:
Os invasores continuam a aproveitar ameaças evasivas e criptografadas
 O malware de dia zero representou mais de dois terços do total de detecções no segundo trimestre, enquanto os ataques enviados por conexões HTTPS criptografadas foram responsáveis por 34%. As organizações que não são capazes de inspecionar o tráfego criptografado perderão uma grande parte das ameaças recebidas. Embora a porcentagem de ameaças usando criptografia tenha diminuído 64% no primeiro trimestre, o volume de malware criptografado por HTTPS aumentou drasticamente. Parece que mais administradores estão tomando as medidas necessárias para habilitar a inspeção HTTPS em dispositivos de segurança Firebox, mas ainda há mais trabalho a ser feito.
 Ataques baseados em JavaScript estão em ascensão
O scam script Trojan.Gnaeus fez sua estreia no topo da lista dos 10 principais malwares da WatchGuard no segundo trimestre, constituindo quase uma em cada cinco detecções de malware. O malware Gnaeus permite que os agentes da ameaça sequestrem o controle do navegador da vítima com código ofuscado e redirecionem à força para domínios sob o controle do invasor. Outro ataque de JavaScript estilo pop-up, J.S. PopUnder, foi uma das variantes de malware mais difundidas. Nesse caso, um script ofuscado verifica as propriedades do sistema da vítima e bloqueia as tentativas de depuração como uma tática anti-detecção. Para combater essas ameaças, as organizações devem evitar que os usuários carreguem uma extensão do navegador de uma fonte desconhecida, manter os navegadores atualizados com os patches mais recentes, usar adblockers confiáveis e manter um mecanismo antimalware atualizado.
 Os invasores usam cada vez mais arquivos do Excel criptografados para ocultar malware
XML-Trojan.Abracadabra é uma nova adição à lista das 10 principais detecções de malware da WatchGuard, mostrando um rápido crescimento em popularidade desde o surgimento da técnica em abril. Abracadabra é uma variante de malware entregue como um arquivo Excel criptografado com a senha “VelvetSweatshop” (a senha padrão para documentos Excel). Depois de aberto, o Excel descriptografa automaticamente o arquivo e um script macro VBA dentro da planilha baixa e aciona um executável. O uso de uma senha padrão permite que esse malware contorne muitas soluções antivírus básicas, uma vez que o arquivo é criptografado e, em seguida, descriptografado pelo Excel. As organizações nunca devem permitir macros de uma fonte não confiável e aproveitar sandboxing baseado em nuvem para verificar com segurança a verdadeira intenção de arquivos potencialmente perigosos antes que eles possam causar uma infecção.
Um antigo ataque DoS altamente explorável retorna
Uma vulnerabilidade de negação de serviço (DoS) de seis anos que afeta o WordPress e o Drupal apareceu na lista dos 10 principais ataques de rede por volume da WatchGuard no segundo trimestre. Esta vulnerabilidade é particularmente grave porque afeta todas as instalações de Drupal e WordPress sem patch e cria cenários DoS nos quais agentes mal-intencionados podem causar esgotamento de CPU e memória no hardware subjacente. Apesar do alto volume desses ataques, eles eram hiper-focados em algumas dezenas de redes, principalmente na Alemanha. Como os cenários DoS exigem tráfego sustentado para as redes das vítimas, isso significa que há uma grande probabilidade de que os invasores selecionaram seus alvos intencionalmente.
 Domínios de malware alavancam servidores de comando e controle para causar estragos
Dois novos destinos foram incluídos na lista de principais domínios de malware da WatchGuard no segundo trimestre. O mais comum foi o site findresults [.], que usa um servidor C&C para uma variante do trojan Dadobra, que cria um arquivo ofuscado e o registro associado para garantir que o ataque seja executado e pode exfiltrar dados confidenciais e baixar malware adicional quando os usuários inicializam os sistemas Windows. Um usuário alertou a equipe da WatchGuard sobre o Cioco-froll [.] Com, que usa outro servidor C&C para suportar uma variante do botnet Asprox (geralmente entregue via documento PDF) e fornece um beacon C&C para permitir que o invasor saiba que ganhou persistência e está pronto para participar do botnet. O firewall de DNS pode ajudar as organizações a detectar e bloquear esses tipos de ameaças, independentemente do protocolo do aplicativo para a conexão.
Os relatórios de pesquisa trimestrais da WatchGuard são baseados em dados anônimos de Firebox Feed de dispositivos WatchGuard ativos cujos proprietários optaram por compartilhar dados para apoiar os esforços de pesquisa do Laboratório de Ameaças. No segundo trimestre, quase 42.000 appliances WatchGuard contribuíram com dados para o relatório, bloqueando um total de mais de 28,5 milhões de variantes de malware (684 por dispositivo) e mais de 1,75 milhão de ameaças de rede (42 por dispositivo). Os dispositivos Firebox detectaram e bloquearam coletivamente 410 assinaturas de ataque exclusivas no segundo trimestre, um aumento de 15% em relação ao primeiro trimestre e o máximo desde o quarto trimestre de 2018.
O relatório completo inclui mais informações sobre as principais tendências de malware e rede que afetam as empresas atualmente, bem como estratégias de segurança recomendadas e melhores práticas para se defender delas. O relatório também inclui uma análise detalhada da recente onda de violações de dados provocada pelo grupo de cibercriminosos ShinyHunters.