Invasores usam novas técnicas para evitar detecção, diz Netskope

A Netskope, especializada em Secure Access Service Edge (SASE), divulgou nesta terça-feira (2/5) uma nova pesquisa confirmando que os invasores estão encontrando novas maneiras de evitar a detecção e se misturar com o tráfego de rede normal usando HTTP e HTTPS para entregar malware. Em seu último relatório Cloud & Threat Report: Global Cloud and Web Malware Trends, a Netskope identificou que, em média, cinco em cada 1 mil usuários corporativos tentaram baixar malware no primeiro trimestre de 2023, e novas famílias e variantes de malware representaram 72% desses downloads de malware.

Na pesquisa, a Netskope descobriu que quase 10% de todos os downloads de malware no primeiro trimestre foram encaminhados de mecanismos de pesquisa. Esses downloads resultaram principalmente de vazios de dados armados ou combinações de termos de pesquisa que têm poucos resultados, o que significa que qualquer conteúdo que corresponda a esses termos provavelmente aparecerá muito alto nos resultados da pesquisa. Isso representa apenas uma das muitas técnicas de engenharia social que os invasores estão acelerando.

A engenharia social como um todo continua a dominar como uma das principais técnicas de infiltração de malware, com invasores abusando não apenas de mecanismos de pesquisa, mas também de e-mail, aplicativos de colaboração e aplicativos de bate-papo para enganar suas vítimas. Como os dois principais tipos de malware, os cavalos de troia representaram 60% dos downloads de malware no primeiro trimestre e os downloads de phishing representaram 13%.

Avaliação dos canais de comunicação primários para invasores

Pela primeira vez em seu relatório trimestral de Nuvem e ameaças, a Netskope analisou os canais de comunicação do invasor. Os pesquisadores descobriram que os invasores, para evitar a detecção de forma consistente, usaram HTTP e HTTPS nas portas 80 e 443 como seu principal canal de comunicação. De fato, dos novos executáveis ​​de malware analisados ​​pela Netskope que se comunicavam com hosts externos, 85% o faziam pela porta 80 (HTTP) e 67% o faziam pela porta 443 (HTTPS). Essa abordagem permite que os invasores passem facilmente despercebidos e se misturem com a abundância de tráfego HTTP e HTTPS já existente na rede.

Além disso, para evitar os controles de segurança baseados em DNS, algumas amostras de malware evitam as pesquisas de DNS, em vez disso, chegam diretamente aos hosts remotos usando seus endereços IP. No primeiro trimestre de 2023, a maioria das amostras de malware que iniciaram comunicações externas o fizeram usando uma combinação de endereços IP e nomes de host, com 61% se comunicando diretamente com pelo menos um endereço IP e 91% se comunicando com pelo menos um host por meio de uma pesquisa de DNS.

“A tarefa número um para os invasores é encontrar novas maneiras de cobrir seus rastros à medida que as empresas colocam mais recursos na detecção de ameaças, mas essas descobertas indicam como ainda é fácil para os invasores fazer isso à vista de todos”, disse Ray Canzanese, diretor de Pesquisa de Ameaças da Netskope. “À medida que os invasores gravitam em torno de serviços em Nuvem que são amplamente usados ​​na empresa e utilizam canais populares para se comunicar, a mitigação de riscos multifuncionais é mais necessária do que nunca”, comentou.

Outras descobertas notáveis ​​descobertas pela equipe de pesquisa da Netskope incluem:-

– 55% dos downloads de malware HTTP/HTTPS vieram de aplicativos em Nuvem, contra 35% no mesmo período do ano anterior. O principal impulsionador é um aumento nos downloads de malware dos aplicativos de Nuvem corporativos mais populares, com o Microsoft OneDrive sendo o aplicativo corporativo mais popular por uma ampla margem.

– O número de aplicativos com downloads de malware também continuou a aumentar, atingindo um máximo de 261 aplicativos distintos no primeiro trimestre de 2023.

– Apenas uma pequena fração do total de downloads de malware da Web foi entregue em categorias da Web tradicionalmente consideradas arriscadas. Em vez disso, os downloads estão espalhados por uma ampla variedade de sites, com os servidores de conteúdo (CDNs) responsáveis ​​pela maior fatia, com 7,7%.

À medida que as empresas trabalham para se defender contra o ataque de malware, é necessária a colaboração multifuncional entre várias equipes, incluindo rede, operações de segurança, resposta a incidentes, liderança e até colaboradores individuais. Algumas das etapas adicionais que as organizações podem adotar para reduzir os riscos incluem:

– Inspecione todos os downloads HTTP e HTTPS, incluindo todo o tráfego da Web e da nuvem, para evitar que malware se infiltre em sua rede

– Certifique-se de que os controles de segurança inspecionem recursivamente o conteúdo de arquivos populares e que os tipos de arquivo de alto risco sejam inspecionados completamente
Configure políticas para bloquear downloads de aplicativos que não são usados ​​em sua organização para reduzir a superfície de risco.

Serviço
www.netskope.com