Jornalismo de tecnologia, independente e com credibilidade

Arquivos ZIP são mais comuns para a distribuição de malware e superam documentos do Office

A HP Inc. (NYSE: HPQ) publica hoje seu relatório HP Wolf Security Threat Insights Report referente ao terceiro trimestre de 2022, que revela que formatos compactados –  como ZIP e RAR – foram os tipos de arquivos mais utilizados para a distribuição de malware, superando documentos do Office pela primeira vez em três anos. O relatório apresenta uma análise de ataques cibernéticos do mundo real, ajudando as organizações a acompanhar as mais recentes técnicas que os cibercriminosos utilizam para escapar da detecção e violar usuários no ambiente de crimes cibernéticos.

ASSINE AGORA! Não saia sem garantir 30 dias GRÁTIS
A Bits & Geeks leva até você matérias completas e material exclusivo do mundo da tecnologia.

Close this popup

Baseada em dados de milhões de endpoints em funcionamento com o HP Wolf Security, a pesquisa descobriu que 44% dos malwares foram entregues dentro de arquivos compactados – 11% a mais do que no trimestre anterior –, contra 32% que foram entregues via documentos do Office, como os de Microsoft Word, Excel e PowerPoint.

O relatório identificou diversas campanhas combinando o uso de arquivos com novas técnicas de “contrabando de HTML” – em que os cibercriminosos inserem malwares em arquivos HTML para driblar gateways de serviços de e-mail – para, em seguida, lançar ataques.

Por exemplo, as campanhas QakBot e IceID usaram recentemente arquivos HMTL para direcionar os usuários a falsos visualizadores de documentos on-line que se passavam por aplicativos da Adobe. Então, os usuários eram instruídos a abrir um arquivo ZIP e inserir uma senha para descompactar os arquivos, que, então, implantavam o malware nos PCs.

Como o malware dentro do arquivo HTML é codificado e criptografado, a detecção pelo gateway do e-mail ou por outras ferramentas de segurança torna-se muito difícil. Assim, o invasor lança mão da engenharia social, criando uma página de internet convincente e bem desenhada para enganar as pessoas e fazê-las iniciar o ataque ao abrir o arquivo ZIP contendo malware. Em outubro, os mesmos invasores também foram flagrados usando páginas falsas do Google Drive, em um esforço contínuo para fazer os usuários abrirem os arquivos maliciosos.

“Esse tipo de arquivo é fácil de criptografar, o que ajuda os criminosos a esconder o malware e escapar de proxies, sandboxes ou antivírus de e-mails. Isso dificulta a detecção de ataques, especialmente quando combinado com técnicas de contrabando de HTML. O interessante nas campanhas QakBot e IceID foi justamente o esforço empenhado para criar páginas falsas – essas campanhas foram mais convincentes do que as que já tínhamos visto antes, tornando difícil para as pessoas saberem em quais arquivos poderiam, ou não, confiar”, explica Alex Holland, analista sênior de malware da equipe de pesquisa HP Wolf Security da HP Inc.

A HP também identificou uma campanha complexa que usava uma cadeia modular de infecção com o potencial de permitir que os invasores mudassem a carga útil (payload) – com ações como spyware, ransomware e registro de teclas – durante a campanha ou introduzissem novos recursos, como geofencing. Isso podia habilitar o invasor a alterar suas táticas de acordo com o alvo violado. Por não incluir o malware diretamente no anexo enviado ao alvo, tornava-se mais difícil, também, para que os gateways de e-mail detectassem esse tipo de ataque.

“Conforme demonstrado, os criminosos estão constantemente mudando suas técnicas, dificultando a identificação pelas ferramentas de detecção”, comenta o dr. Ian Pratt, chefe global de Segurança para Sistemas Pessoais da HP Inc. “Seguindo o princípio de Confiança Zero no isolamento detalhado, as organizações podem usar a microvirtualização para se certificarem de que tarefas potencialmente maliciosas – como clicar em links ou abrir anexos maliciosos – sejam executadas em uma máquina virtual descartável, separada dos sistemas essenciais. Esse processo é completamente invisível para o usuário e retém qualquer malware, garantindo que os invasores não tenham acesso a dados sensíveis e evitando que ganhem acesso e se movimentem de outras formas.”

O HP Wolf Security realiza tarefas arriscadas, como a abertura de anexos em e-mail, download de arquivos e abertura de links em micromáquinas virtuais (micro-VMs, na sigla em inglês), para proteger os usuários, captando rastros detalhados de tentativas de infecção. A tecnologia de isolamento de aplicações da HP mitiga ameaças que podem passar despercebidas por outras ferramentas e fornece insights exclusivos sobre novas técnicas de intrusão e novos comportamentos de agentes de ameaças. Ao isolar, nos PCs, ameaças que escaparam de ferramentas de detecção, a HP Wolf Security tem uma visão específica sobre as mais recentes técnicas usadas por cibercriminosos. Até hoje, clientes HP já clicaram em mais de 18 bilhões de anexos de e-mail, páginas na internet e download de arquivos, sem violações registradas.

Comentários estão fechados.

Esse site usa cookie para melhor sua experiência Aceitar