Cibercriminosos trocam as macros por atalhos em seus ataques, diz a HP

A HP divulgou seu relatório trimestral de informações sobre ameaças, revelando que grupos de cibercriminosos, incluindo gangues famosas como QakBot, IceID, Emotet e RedLine Stealer, estão agora utilizando atalhos (LNK) para entregar os malwares. Os atalhos estão substituindo as macros do Office, que estão sendo bloqueadas por padrão pelos programas da Microsoft, e sendo uma forma de os invasores se estabelecerem nas redes, enganando os usuários para que infectem seus PCs com malware. Esse acesso pode ser usado para roubar dados valiosos da empresa ou vendido para grupos de ransomware, levando a violações em grande escala que podem interromper as operações comerciais e resultar em custos significativos de correção.

O mais recente relatório global HP Wolf Security Threat Insights, que fornece análise de ataques cibernéticos do mundo real, mostra um aumento de 11% nos arquivos contendo malware, incluindo arquivos LNK. Os invasores geralmente colocam arquivos de atalho em anexos de e-mail ZIP, para ajudá-los a escapar dos scanners de e-mail. A equipe também detectou construtores de malware LNK disponíveis para compra em fóruns de hackers, tornando mais fácil para os cibercriminosos mudarem para essa técnica de execução de código “sem macros”, criando arquivos de atalho armados e espalhando-os para as empresas.

“À medida que as macros baixadas da Web são bloqueadas por padrão no Office, estamos atentos aos métodos alternativos de execução testados pelos cibercriminosos. Abrir um atalho ou arquivo HTML pode parecer inofensivo para um funcionário, mas pode resultar em um grande risco para a empresa”, explica Alex Holland, analista sênior de Malware da equipe de Pesquisa de Ameaças da HP Wolf Security. “Recomendamos bloquear imediatamente os arquivos de atalho recebidos como anexos de e-mail ou baixados da web sempre que possível”, disse.

Ao isolar ameaças em PCs que escaparam das ferramentas de detecção, o HP Wolf Security tem uma visão específica sobre as técnicas mais recentes usadas pelos cibercriminosos. Além do aumento nos arquivos LNK, a equipe de pesquisa de ameaças destacou os seguintes insights neste trimestre:

O contrabando de HTML atinge uma massa crítica – a HP identificou várias campanhas de phishing usando e-mails que se apresentam como serviços de correio regionais ou – como previsto pela HP – grandes eventos como Doha Expo 2023 (que atrairá mais de 3 milhões de participantes globais) que usaram contrabando de HTML para entregar malware. Usando essa técnica, tipos de arquivos perigosos que seriam bloqueados por gateways de e-mail podem ser contrabandeados para as organizações e levar a infecções por malware.

Os invasores exploram a janela de vulnerabilidade criada pela vulnerabilidade de dia zero Follina (CVE-2022-30190) – Após sua divulgação, vários atores de ameaças exploraram a recente vulnerabilidade de dia zero na Microsoft Support Diagnostic Tool (MSDT) – apelidada de “Follina” – para distribuir QakBot, Agent Tesla e o Remcos RAT (Remote Access Trojan) antes de um patch estar disponível. A vulnerabilidade é particularmente perigosa porque permite que invasores executem códigos arbitrários para implantar malware e requer pouca interação do usuário para explorar as máquinas de destino.

Nova técnica de execução vê shellcode oculto em documentos espalhando malware SVCReady – a HP descobriu uma campanha distribuindo uma nova família de malware chamada SVCReady, notável pela maneira incomum como é entregue aos PCs de destino – por meio de shellcode oculto nas propriedades dos documentos do Office. O malware – projetado principalmente para baixar cargas de malware secundário para computadores infectados após coletar informações do sistema e fazer capturas de tela – ainda está em um estágio inicial de desenvolvimento, tendo sido atualizado várias vezes nos últimos meses.

As descobertas são baseadas em dados de milhões de endpoints que executam o HP Wolf Security. O HP Wolf Security executa tarefas arriscadas, como abrir anexos de e-mail, baixar arquivos e clicar em links em máquinas microvirtuais isoladas (micro-VMs) para proteger os usuários, capturando rastros detalhados de tentativas de infecções. A tecnologia de isolamento de aplicativos da HP mitiga as ameaças que podem passar despercebidas por outras ferramentas de segurança e fornece insights exclusivos sobre novas técnicas de intrusão e comportamento dos agentes de ameaças. Até o momento, os clientes da HP clicaram em mais de 18 bilhões de anexos de e-mail, páginas da web e arquivos baixados sem nenhuma violação relatada.

Outras descobertas importantes no relatório incluem:

– 14% dos malwares de e-mail capturados pelo HP Wolf Security ignoraram pelo menos um scanner de gateway de e-mail.

– Os agentes de ameaças usaram 593 famílias de malware diferentes em suas tentativas de infectar organizações, em comparação com 545 no trimestre anterior.

– As planilhas continuaram sendo o principal tipo de arquivo malicioso, mas a equipe de pesquisa de ameaças viu um aumento de 11% nas ameaças de arquivo – sugerindo que os invasores estão cada vez mais colocando arquivos em arquivos antes de enviá-los para evitar a detecção.
69% dos malwares detectados foram entregues por e-mail, enquanto os downloads da web foram responsáveis ​​por 17%.

– As iscas de phishing mais comuns foram transações comerciais como “Pedido”, “Pagamento”,“Compra”, “Solicitação” e “Fatura”.

“Os invasores estão testando novos formatos de arquivos maliciosos ou explorações em ritmo acelerado para contornar a detecção, portanto, as organizações devem se preparar para o inesperado. Isso significa adotar uma abordagem arquitetônica para a segurança de endpoints, por exemplo, contendo os vetores de ataque mais comuns, como e-mail, navegadores e downloads, para que as ameaças sejam isoladas, independentemente de serem detectadas”, comenta Ian Pratt, chefe global de Security for Personal Systems da HP. “Isso eliminará a superfície de ataque para classes inteiras de ameaças, ao mesmo tempo em que dará à organização o tempo necessário para coordenar os ciclos de patches com segurança sem interromper os serviços”, finalizou.

Serviço
www.hp.com