Onda de ciberataques usa arquivos do Excel, afirma relatório da HP

A HP apresentou o seu mais recente relatório global HP Wolf Security Threat Insights, fornecendo análise de ataques de segurança cibernética do mundo real. Ao isolar ameaças que escaparam das ferramentas de detecção e chegaram aos endpoints dos usuários, o HP Wolf Security tem uma visão específica sobre as técnicas mais recentes usadas pelos cibercriminosos.

A equipe de pesquisa de ameaças da HP Wolf Security identificou uma onda de ataques utilizando arquivos de suplemento do Excel para espalhar malware, ajudando invasores a obter acesso a alvos e expondo empresas e indivíduos a roubo de dados e ataques destrutivos de ransomware. Houve um enorme aumento de seis vezes (+588%) nos ataques usando arquivos maliciosos de suplemento do Microsoft Excel (.xll) para infectar sistemas em comparação com o último trimestre – uma técnica considerada particularmente perigosa, pois requer apenas um clique para ser executada o malware. A equipe também encontrou anúncios de kits de dropper e malware .xll em mercados clandestinos, o que facilita o lançamento de campanhas por invasores inexperientes.

Além disso, uma campanha de spam recente do QakBot usou arquivos do Excel para enganar os alvos, usando contas de e-mail comprometidas para sequestrar threads de e-mail e responder com um arquivo Excel (.xlsb) malicioso anexado. Depois de ser entregue aos sistemas, o QakBot se injeta em processos legítimos do Windows para evitar a detecção. Arquivos maliciosos do Excel (.xls) também foram usados ​​para espalhar o Trojan bancário Ursnif para empresas de língua italiana e organizações do setor público por meio de uma campanha de spam maliciosa, com invasores se passando pelo serviço de correio italiano BRT. Novas campanhas que espalham o malware Emotet agora estão usando o Excel em vez de arquivos JavaScript ou Word também.

Outras ameaças notáveis ​​isoladas pela equipe de insights de ameaças do HP Wolf Security incluem:

O retorno do TA505: a HP identificou uma campanha de phishing por e-mail MirrorBlast compartilhando muitas táticas, técnicas e procedimentos (TTPs) com o TA505, um grupo de ameaças com motivação financeira conhecido por campanhas de spam de malware em massa e monetização do acesso a sistemas infectados usando ransomware. O ataque teve como alvo organizações com o Trojan de acesso remoto FlawedGrace (RAT).

Plataforma de jogos falsa infectando vítimas com RedLine: um site de instalação falsificado do Discord foi descoberto, enganando os visitantes a baixar o infostealer RedLine e roubar suas credenciais.

Alternar tipos de arquivos incomuns ainda está ignorando a detecção: o grupo de ameaças Aggah visava organizações de língua coreana com arquivos maliciosos de suplemento do PowerPoint (.ppa) disfarçados de ordens de compra, infectando sistemas com cavalos de Troia de acesso remoto. O malware do PowerPoint é incomum, representando 1% do malware.

“Abusar de recursos legítimos no software para se esconder das ferramentas de detecção é uma tática comum para invasores, assim como usar tipos de arquivos incomuns que podem ser permitidos por gateways de e-mail anteriores. As equipes de segurança precisam garantir que não dependem apenas da detecção e que estão acompanhando as ameaças mais recentes e atualizando suas defesas de acordo. Por exemplo, com base no pico de avistamentos maliciosos de .xll que estamos vendo, recomendo que os administradores de rede configurem gateways de e-mail para bloquear anexos .xll de entrada, permitir apenas suplementos assinados por parceiros confiáveis ​​ou desabilitar completamente os suplementos do Excel”, explica Alex Holland, analista sênior de Malware da equipe de Pesquisa de Ameaças do HP Wolf Security. “Os invasores estão inovando continuamente para encontrar novas técnicas para evitar a detecção, por isso é vital que as empresas planejem e ajustem suas defesas com base no cenário de ameaças e nas necessidades de negócios de seus usuários. Atores de ameaças investiram em técnicas como o sequestro de threads de e-mail, tornando mais difícil do que nunca para os usuários distinguirem amigos de inimigos”, completou.

As descobertas são baseadas em dados de muitos milhões de endpoints que executam o HP Wolf Security. O HP Wolf Security rastreia malware abrindo tarefas arriscadas em micromáquinas virtuais isoladas (micro-VMs) para entender e capturar toda a cadeia de infecção, ajudando a mitigar ameaças que passaram por outras ferramentas de segurança. Isso permitiu que os clientes clicassem em mais de 10 bilhões de anexos de e-mail, páginas da web e downloads sem violações relatadas. Ao compreender melhor o comportamento do malware à solta, os pesquisadores e engenheiros da HP Wolf Security podem reforçar a proteção de segurança de endpoint e a resiliência geral do sistema.

Outras descobertas importantes do relatório incluem:

– 13% dos malwares de e-mail isolados ignoraram pelo menos um scanner de gateway de e-mail.
As ameaças usaram 136 extensões de arquivo diferentes em suas tentativas de infectar organizações.

– 77% dos malwares detectados foram entregues via e-mail, enquanto os downloads da Web foram responsáveis ​​por 13%.

– Os anexos mais comuns usados ​​para entregar malware foram documentos (29%), arquivos (28%), executáveis ​​(21%), planilhas (20%).

– As iscas de phishing mais comuns estavam relacionadas ao Ano Novo ou transações comerciais como “Pedido”, “2021/2022”, “Pagamento”, “Compra”, “Solicitação” e “Fatura”.

“Hoje, os agentes de ameaças de baixo nível podem realizar ataques furtivos e vender acesso a grupos organizados de ransomware, levando a violações em grande escala que podem paralisar os sistemas de TI e interromper as operações”, comenta Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP. “As organizações devem se concentrar em reduzir a superfície de ataque e permitir uma recuperação rápida em caso de comprometimento. Isso significa seguir os princípios do Zero Trust e aplicar um gerenciamento de identidade forte, privilégio mínimo e isolamento do nível de hardware. Por exemplo, ao isolar vetores de ataque comuns, como e-mail, navegadores ou downloads usando microvirtualização, qualquer malware ou exploits potenciais à espreita são contidos, tornando-os inofensivos”, finalizou.

Serviço
www.hp.com